OCHRONA DANYCH OSOBOWYCH I INFORMACJI NIEJAWNYCH

Dane osobowe

Definicja:

Wszelkie dane służące do zidentyfikowania osoby.

Dane wrażliwe:

- finansowe

- medyczne (przebyte choroby)

- wyznanie

- poglądy polityczne

- orientacja seksualna

- pochodzenie

Jak można wykorzystać dane przy ich wycieku?

- kredyty „chwilówki”

- wykorzystanie do celów marketingowych

- firmy farmaceutyczne

- firmy ubezpieczeniowe, które znają przebyte choroby nie chcą ubezpieczać

- ZUS wie o nas wszystko, po to, by później wypłacać renty, emerytury itp. CBA chciało mieć dostęp do danych ZUSu.

Ustawa o ochronie danych osobowych- 1997r.

Ochrona danych osobowych (prewencyjne)

Zabezpieczenie danych osobowych (represyjne)

Ochrona- stworzenie takich przepisów prawa, by te dane nie były udostępnione niepożądanym osobom bez naszej zgody

Zabezpieczenie- w przypadku, gdy te dane już wyciekły, mieliśmy prawo dochodzić swoich praw, ale już po fakcie

Główny Inspektor Ochrony Danych Osobowych (GIODO)

Zabezpieczane są nośniki danych osobowych

10.10.2013

• Ustawa z dn. 29.08.1997r. o ochronie danych osobowych Dz. U. 1997 nr 133 poz. 883

• Art. 51 Konstytucji RP

Pkt. 1. Nikt nie może być obowiązany inaczej niż na podstawie ustawy do ujawniania informacji dotyczących jego osoby.

Pkt. 2. Władze publiczne nie mogą pozyskiwać, gromadzić i udostępniać innych informacji o obywatelach niż niezbędne w demokratycznym państwie prawnym.

Pkt. 3. Każdy ma prawo dostępu do dotyczących go urzędowych dokumentów i zbiorów danych. Ograniczenie tego prawa może określić Ustawa.

Pkt. 4. Każdy ma prawo do żądania sprostowania oraz usunięcia informacji nieprawdziwych, niepełnych lub zebranych w sposób sprzeczny z Ustawą.

Pkt. 5. Zasady i tryb gromadzenia oraz udostępniania informacji określa Ustawa.

Czym są dane osobowe?

Dane osobowe są to wszystkie informacje służące do zidentyfikowania osoby fizycznej. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio bez podejmowania nadmiernych wysiłków, w szczególności przez powołanie się na numer identyfikacyjny albo 1 lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne.

Danymi osobowymi NIE są:

- informacje anonimowe

- informacje o podmiotach innych niż osoby fizyczne

O możliwości ustalenia tożsamości- zidentyfikowania osoby- przesądza często kontekst, w jakim informacje te występują. Czasami typowe informacje identyfikujące osobę, wyrwane z kontekstu nie pozwolą na ustalenie kogo informacja dotyczy i odwrotnie- czasem nawet mimo braku typowych informacji identyfikujących określoną osobę, możliwe jest jej wskazanie.

Danymi osobowymi mogą być:

Informacje odnoszące się nie tylko do sfery osobistej (np. imię, nazwisko, data urodzenia, adres zamieszkania, informacje o stanie zdrowia), ale także odnoszące się do sytuacji majątkowej jednostki (np. wysokość osiąganych dochodów, stan konta bankowego, informacje o posiadanym mieniu ruchomym czy nieruchomości).

Ze względu na to, że przeważająca większość informacji może być powiązana z aktywnością określonej osoby, uznaje się, że danymi osobowymi nie są informacje, co do których ustalenie tożsamości osoby wymagałoby nadmiernych kosztów, czasu lub działań. Szczególnym rodzajem danych osobowych są tzw. dane wrażliwe (inaczej: dane sensytywne), do których zalicza się dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również dane o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz dane dotyczące skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym.

Szczególny charakter tego rodzaju informacji uzasadnia objęcie ich bardziej intensywną ochroną.

Zabezpieczenie i ochrona danych osobowych:

Elektroniczne gromadzenie, przetwarzanie oraz przesyłanie danych osobowych pozwala usprawnić funkcjonowanie wielu podmiotów prywatnych i instytucji publicznych, obniżyć koszty, zwiększyć szybkość i efektywność wykonywanych działań.

Działania te mogą powodować różnego rodzaju zagrożenia dotyczące m.in.:

• naruszenia sfery prywatności

• opierania istotnych dla danej osoby rozstrzygnięć na nieprawdziwych, nieaktualnych czy błędnych informacjach

• wykorzystywania zgromadzonych informacji w różnych formach ze szkodą dla osoby, której one dotyczą

Elektroniczna postać danych sprzyja nie tylko szybkości ich przetwarzania ale też ułatwia uzyskanie dostępu do informacji przez osoby do tego nieuprawnione. W sformułowaniu „ochrona danych osobowych” w brew brzmieniu nazwy nie chodzi tyle o ochronę danych, co ochronę osób, których dane są przetwarzane.

Istotą ochrony danych osobowych i jej głównym celem jest zapewnienie osobom fizycznym ochrony przed negatywnymi konsekwencjami, jakie mogą wynikać z niezgodnego z prawem przetwarzania danych ich dotyczących.

Mechanizmy ochrony danych osobowych mają także charakter prewencyjny, powinny pozwolić zapobiec negatywnym konsekwencjom niewłaściwego wykorzystania danych osobowych zamiast tylko reagować w sytuacjach, gdy naruszenia miały mieć miejsce.

Innym ważnym celem ochrony danych osobowych jest zapewnienie możliwości swobodnego przepływu danych osobowych

Natomiast zabezpieczenie danych jest to suma wszystkich przedsięwzięć o charakterze technicznym i organizacyjnym podejmowanych w celu zabezpieczenia zgromadzonych danych przed zniszczeniem lub uszkodzeniem, jak również przed wszelkiego rodzaju nadużyciami.

Zabezpieczać należy dane przetwarzane zarówno w systemie informatycznym jak i przetwarzane w tradycyjnych zbiorach danych (np. kartotekach, skorowidzach, księgach, wykazach oraz innych zbiorach ewidencyjnych).

Do zabezpieczenia danych służą różne środki:

Środki techniczne

• wykorzystywanie określonych urządzeń spełniających wymogi bezpieczeństwa

• odpowiednich nośników danych itp.

Środki organizacyjne

• ograniczanie dostępu do zbiorów przez konieczność podania hasła

• rozgraniczenie funkcji osoby wprowadzającej dane od funkcji osoby dokonującej weryfikacji.

17.10.2013

Wynikający z przepisów prawa ogólny obowiązek ochrony danych osobowych spoczywa na podmiotach przetwarzających dane osobowe.

Wśród tych podmiotów szczególną rolę odgrywa administrator danych, którym jest ten, kto decyduje o celach i środkach przetwarzania danych osobowych.

Administrator danych jest obowiązany zastosować środki techniczne i organizacyjne, zapewniające ochronę przetwarzanych danych osobowych, odpowiednią do zagrożeń oraz kategorii danych objętych kontrolą, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieupoważnioną, przetwarzaniem z naruszeniem ustawy oraz zmianom, stratom, uszkodzeniom lub zniszczeniom.

Do przetwarzania danych mogą być dopuszczone wyłącznie osoby, posiadające upoważnienie nadane przed administratora danych. Administrator danych jest obowiązany zapewnić kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone, oraz komu są przekazywane.

Administrator danych prowadzi ewidencję osób, upoważnionych do ich przetwarzania, która powinna zawierać:

• Imię i nazwisko osoby upoważnionej

• Datę nadania i ustania (termin)

• Zakres upoważnienia do przetwarzania danych osobowych

• Identyfikator, jeżeli dane są przetwarzane w systemie informatycznym

Osoby, które zostały upoważnione do przetwarzania danych są obowiązane zachować w tajemnicy, te dane osobowe oraz sposoby ich zabezpieczenia. Właściwe zabezpieczenie danych osobowych, jest jednym z istotnych elementów, składających się na szeroko pojętą ochronę danych osobowych.

24.10.2013

Organem ds. ochrony danych osobowych jest Generalny Inspektor Ochrony Danych Osobowych

GIODO może zostać osoba, która:

1. jest obywatelem Polski i stale zamieszkuje na terytorium RP

2. wyróżnia się wysokim autorytetem moralnym

3. posiada wyższe wykształcenie prawnicze oraz odpowiednie doświadczenie zawodowe

4. nie była karana za przestępstwo umyślne

GIODO jest powoływany i odwoływany przez Sejm RP, a jego kadencja trwa 4 lata. Ta sama osoba może zajmować omawiane stanowisko nie więcej niż 2 kadencje.

7.11.2013

Do zadań GIODO należy:

1. Kontrola zgodności przetwarzania danych z przepisami o ochronie danych osobowych.

2. Wydawanie decyzji administracyjnych i rozpatrywanie skarg w sprawach wykonania przepisów o ochronie danych osobowych.

3. Prowadzenie rejestru zbiorów danych oraz udzielanie informacji o zarejestrowanych zbiorach.

4. Opiniowanie projektów ustaw i rozporządzeń dotyczących ochrony danych osobowych.

5. Inicjowanie i podejmowanie przedsięwzięć w zakresie doskonalenia ochrony danych osobowych.

6. Uczestniczenie w pracach międzynarodowych organizacji i instytucji zajmujących się problematyką ochrony danych osobowych.

Zasady przetwarzania danych osobowych:

W rozumieniu potocznym przez przetwarzanie danych rozumie się jedynie czynności polegające na dokonywaniu zmian i przekształcaniu posiadanych informacji.

Przetwarzaniem danych są wszelkie operacje wykonywane na danych osobowych, tj. zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie, usuwanie oraz działania, jakie wykonuje się w systemach informatycznych.

Ma to na celu umożliwienie ochrony już od chwili zbierania danych aż do czasu ich usunięcia, a więc w trakcie wszelkich czynności wykonywanych na danych osobowych.

Wyróżnia się 5 zasad ogólnych przetwarzania i ochrony danych osobowych:

1. Zasada legalności przetwarzania- dane osobowe powinny być przetwarzane zgodnie z prawem

2. Zasada celowości przetwarzania:
   a) dane osobowe powinny być gromadzone dla konkretnych, zgodnych z prawem celów i nie powinny być przetwarzane w sposób z nimi niezgodny;
   b) cel przetwarzania danych powinien być określony jasno i wyraźnie, nie w sposób ogólny, a sformułowanie dotyczące celu nie powinno nasuwać wątpliwości.

3. Zasada adekwatności danych- dane osobowe powinny być adekwatne do celu przetwarzania, a więc stosowne, proporcjonalne, nienadmierne ilościowo.

4. Zasada merytorycznej poprawności danych- przetwarzane dane osobowe powinny być zgodne z prawdą

5. Zasada ograniczenia czasowego przetwarzania danych:
   a) dane powinny być przetwarzane tak długo, jak jest to konieczne dla osiągnięcia celu przetwarzania, a po osiągnięciu tego celu nie powinny być dłużej przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą;
   b) o długości okresu przetwarzania danych zasadniczo decyduje cel, któremu dane mają służyć.

Zgodnie z Ustawą przetwarzanie danych osobowych jest dopuszczalne tylko wtedy, gdy:

1. Osoba, której dane dotyczą wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych.

2. Jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisów prawa.

3. Jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą.

4. Jest niezbędne do wykonywania określonych prawem zadań realizowanych dla dobra publicznego.

5. Jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.

Zabrania się przetwarzania danych sensytywnych.

Jednak przetwarzanie tych danych jest dopuszczalne, jeżeli:

1. Osoba, której dane dotyczą wyrazi na to zgodę na piśmie, chyba że chodzi o usunięcie dotyczących jej danych.

2. Jeżeli przepis szczególny innej ustawy zezwala na przetwarzanie takich danych bez zgody osoby, której dane dotyczą i stwarza pełne gwarancje ich ochrony.

3. Jeżeli przetwarzanie takich danych jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą lub innej osoby, gdy osoba, której dane dotyczą nie jest fizycznie lub prawnie zdolna do wyrażenia zgody do czasu ustanowienia opiekuna prawnego lub kuratora.

4. Jeżeli jest to niezbędne do wykonywania statutowych zadań kościołów i innych związków wyznaniowych, stowarzyszeń, fundacji lub innych niezarobkowych organizacji lub instytucji o celach politycznych, naukowych, religijnych, filozoficznych lub związkowych pod warunkiem, że przetwarzanie danych dotyczy wyłącznie członków tych organizacji lub instytucji albo osób utrzymujących z nimi stałe kontakty w związku z ich działalnością i zapewnione są pełne gwarancje ochrony przetwarzanych danych.

5. Jeżeli przetwarzanie dotyczy danych, które są niezbędne do dochodzenia praw przed sądem.

6. Jeżeli przetwarzanie jest niezbędne do wykonania zadań administratora danych odnoszących się do zatrudnienia pracowników i innych osób, a zakres przetwarzania danych jest określony w Ustawie.

7. Jeżeli przetwarzanie jest prowadzone w celu ochrony stanu zdrowia, świadczenia usług medycznych lub leczenia pacjentów przez osoby trudniące się zawodowo leczeniem lub świadczeniem innych usług medycznych i są stworzone pełne gwarancje ochrony danych osobowych.

8. Jeżeli przetwarzanie dotyczy danych, które zostały podane do wiadomości publicznej przez osobę, której dane dotyczą.

9. Jeżeli jest to niezbędne do prowadzenia badań naukowych, w tym do przygotowania rozprawy wymaganej do uzyskania dyplomu ukończenia szkoły wyższej lub stopnia naukowego, jednak publikowanie wyników badań naukowych nie może następować w sposób umożliwiający identyfikację osób, których dane zostały przetworzone.

10. Jeżeli przetwarzanie danych jest prowadzone przez stronę w celu realizacji praw i obowiązków wynikających z orzeczenia wydanego w postępowaniu sądowym lub administracyjnym.

Prawa osoby, której dane dotyczą:

Każdej osobie przysługuje prawo do kontroli przetwarzania danych, które jej dotyczą zawartych w zbiorach danych a zwłaszcza prawo do:

1. uzyskania wyczerpującej informacji czy taki zbiór istnieje oraz do ustalenia administratora danych, adresu jego siedziby i pełnej nazwy a w przypadku, gdy administratorem danych jest osoba fizyczna- jej miejsca zamieszkania oraz imienia i nazwiska.

2. uzyskania informacji o celu, zakresie i sposobie przetwarzania danych zawartych w takim zbiorze.

3. uzyskania informacji od kiedy przetwarza się w zbiorze dane jej dotyczące oraz podania w powszechnie zrozumiałej formie treści tych danych.

4. uzyskania informacji o źródle, z którego pochodzą dane jej dotyczące, chyba że administrator danych jej zobowiązany do zachowania w tym zakresie tajemnicy państwowej, służbowej lub zawodowej.

5. uzyskania informacji o sposobie udostępniania danych, a w szczególności informacji o odbiorcach lub kategoriach odbiorców, którym dane te są udostępnione.

6. żądania uzupełnienia/ uaktualnienia/ sprostowania danych osobowych, czasowego lub stałego wstrzymania ich przetwarzania lub ich usunięcia jeżeli są one niekompletne, nieaktualne, nieprawdziwe lub zostały zebrane z naruszeniem ustawy albo są już zbędne do realizacji celu, dla którego zostały zebrane.

7. wniesienie sprzeciwu wobec przetwarzania jej danych w przypadkach, gdy administrator danych zamierza je przetwarzać w celach marketingowych lub wobec przekazywania jej danych innemu administratorowi danych.

Przekazywanie danych osobowych do państwa trzeciego:

Przekazanie danych osobowych do państwa trzeciego może nastąpić, jeżeli państwo docelowe daje gwarancję ochrony danych osobowych na swoim terytorium przynajmniej takie, jakie obowiązują na terytorium RP

Przepisy karne:

1. Kto przetwarza w zbiorze dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do których przetwarzania nie jest uprawniony podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.
   Natomiast jeżeli upowszechnione dotyczą danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, danych o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym sprawca podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 3.

2. Kto administrując zbiorem danych, przechowuje w zbiorze dane osobowe niezgodnie z celem utworzenia zbioru podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.

3. Kto administrując zbiorem danych lub będąc obowiązany do ochrony danych osobowych udostępnia je lub umożliwia dostęp do nich osobom nieupoważnionym podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. Jeżeli sprawca działa nieumyślnie podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.

4. Kto administrując danymi narusza choćby nieumyślnie obowiązek zabezpieczenia ich przed zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.

5. Kto będąc do tego obwiązany nie zgłasza do rejestracji zbioru danych podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.

6. Kto administrując zbiorem danych nie dopełnia obowiązku poinformowania osoby, której dane dotyczą o jej prawach lub przekazania tej osobie informacji umożliwiających korzystanie z praw przyznanych jej w ustawie podlega grzywnie, karze ograniczenia wolności albo karze pozbawienia wolności do roku.