plik

��OCHRONIA DANYCH OSOBOWYCH 1 PRZEPISY O OCHRONIE DANYCH OSOBOWYCH Zasady przetwarzania danych osobowych oraz prawa os�b fizycznych, kt�rych dane osobowe s lub mog by przetwarzane w zbiorach danych, okre[la ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn. Dz.U. z 2002 r. nr 101, poz. 926, z p�zn. zm.; dalej jako: ustawa) oraz wydane na jej podstawie akty wykonawcze rozporzdzenia Ministra Spraw Wewntrznych i Administracji. 2 PRZEPISY O OCHRONIE DANYCH OSOBOWYCH Rozporzdzenie z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunk�w technicznych i organizacyjnych, jakim powinny odpowiada urzdzenia i systemy informatyczne sBu|ce do przetwarzania danych osobowych (Dz.U. nr 100, poz. 1024) wydane na podstawie art. 39a ustawy okre[la: spos�b prowadzenia i zakres dokumentacji opisujcej spos�b przetwarzania danych osobowych oraz [rodki techniczne i organizacyjne zapewniajce ochron przetwarzanych danych osobowych odpowiedni do zagro|eD oraz kategorii danych objtych ochron; podstawowe warunki techniczne i organizacyjne, jakim powinny odpowiada urzdzenia i systemy informatyczne sBu|ce do przetwarzania danych osobowych; wymagania w zakresie odnotowywania udostpniania danych osobowych i bezpieczeDstwa przetwarzania danych osobowych. 3 PRZEPISY O OCHRONIE DANYCH OSOBOWYCH Rozporzdzenie z dnia 11 grudnia 2008 r. w sprawie wzoru zgBoszenia zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (Dz. U. nr 229, poz. 1536) -wydane na podstawie art. 46 a ustawy okre[la wz�r zgBoszenia, kt�ry jest zaBcznikiem do tego rozporzdzenia. Rozporzdzenie z dnia 22 kwietnia 2004 r. w sprawie wzor�w imiennego upowa|nienia i legitymacji sBu|bowej inspektora Biura Generalnego Inspektora Ochrony Danych Osobowych (Dz.U. nr 94, poz. 923) wydane na podstawie art. 22a ustawy okre[la wzory, o kt�rych m�wi to rozporzdzenie. 4 PRZEPISY O OCHRONIE DANYCH OSOBOWYCH Na system ochrony danych osobowych skBadaj si te| wszystkie inne przepisy szczeg�lne, kt�re reguluj kwestie wykorzystywania danych osobowych. Podmioty publiczne, w my[l zasady praworzdno[ci, wyra|onej w art. 7 Konstytucji Rzeczypospolitej Polskiej, dziaBaj wyBcznie na podstawie i w granicach prawa. Oznacza to, |e mog one przetwarza dane osobowe jedynie wtedy, gdy sBu|y to wypeBnieniu okre[lonych prawem zadaD, obowizk�w i upowa|nieD. 5 POJCIA U{YTE W USTAWIE O OCHRONIE DANYCH OSOBOWYCH Administrator danych Ustawa posBuguje si pojciem administrator danych . Jest ono zdefiniowane w art. 7 pkt 4 ustawy. Administratorem jest organ, jednostka organizacyjna, podmiot lub osoba decydujca o celach i [rodkach przetwarzania danych. Midzy innymi mo|e to by organ paDstwowy, organ samorzdu terytorialnego lub paDstwowa albo komunalna jednostka organizacyjna. Z praktyki stosowania ustawy wynika, |e niekt�re podmioty maj problem z wBa[ciwym wskazaniem administratora danych, tymczasem w przypadku podmiot�w publicznych jego rozwizanie nierzadko znajduje si w przepisach prawa stanowicych podstaw utworzenia zbioru. Zazwyczaj znajduje si tam wskazanie, kto jest odpowiedzialny za utworzenie i prowadzenie zbioru danych osobowych, oraz okre[lone s podstawowe zasady prowadzenia zbioru. 6 Zbi�r danych Zgodnie z definicj sformuBowan w art. 7 pkt 1 ustawy o ochronie danych osobowych, zbiorem danych jest taki zestaw danych o charakterze osobowym, w kt�rym dane dostpne s wedBug okre[lonych kryteri�w, niezale|nie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie . 7 Zbi�r danych Wszelkie materiaBy gromadzone w formie akt, w tym sdowe, prokuratorskie, policyjne i inne zawierajce dane osobowe, s zbiorami danych osobowych. Typowym zbiorem danych jest zestaw informacji o pracownikach, zgromadzonych w zwizku z ich zatrudnieniem i [wiadczeniem przez nich pracy, wykorzystywany przez r�|ne kom�rki organizacyjne pracodawcy, zar�wno w systemach informatycznych, jak i w formie papierowej. Ustawa chroni dane osobowe, je[li s one uporzdkowane w zestawach, aktach, ksigach, skorowidzach, rejestrach i innych zbiorach ewidencyjnych. Ustaw stosuje si r�wnie| do danych osobowych przetwarzanych w systemach informatycznych, nawet je[li s to pojedyncze dane (art. 2 ust. 2 ustawy). 8 Dane osobowe Definicja danych osobowych znajduje si w art. 6 ustawy. Danymi osobowymi s wszelkie informacje dotyczce konkretnej osoby, za pomoc kt�rych bez wikszego wysiBku mo|na t osob zidentyfikowa, chocia| nie jest ona wyraznie wskazana. Mo|liw do zidentyfikowania jest taka osoba, kt�rej to|samo[ mo|na okre[li bezpo[rednio lub po[rednio, w szczeg�lno[ci poprzez powoBanie si na numer identyfikacyjny albo jeden lub kilka specyficznych czynnik�w okre[lajcych jej cechy fizyczne, fizjologiczne, umysBowe, ekonomiczne, kulturowe lub spoBeczne. Informacji nie uwa|a si za umo|liwiajc okre[lenie to|samo[ci osoby, je|eli wymagaBoby to nadmiernych koszt�w, czasu lub dziaBaD. 9 Dane osobowe Do danych osobowych zalicza si wic nie tylko imi, nazwisko i adres osoby, ale r�wnie| przypisane jej numery, dane o cechach fizjologicznych, umysBowych, ekonomicznych, kulturowych i spoBecznych. Danymi osobowymi nie bd zatem pojedyncze informacje o du|ym stopniu og�lno[ci, np. sama nazwa ulicy i numer domu, w kt�rym mieszka wiele os�b, czy wysoko[ wynagrodzenia. Informacja ta bdzie jednak stanowi dane osobowe w�wczas, gdy zostanie zestawiona z innymi, dodatkowymi informacjami, np. imieniem i nazwiskiem czy numerem PESEL, kt�re w konsekwencji mo|na odnie[ do konkretnej osoby. 10 Dane osobowe PrzykBadem pojedynczej informacji stanowicej dane osobowe jest numer PESEL Numer ten, zgodnie z art. 31a ust. 1 ustawy z dnia 10 kwietnia 1974 r. o ewidencji ludno[ci i dowodach osobistych (tekst jedn. Dz.U. z 2006 r. nr 139, poz. 993, z p�zn. zm.), jest 11-cyfrowym, staBym symbolem numerycznym, jednoznacznie identyfikujcym osob fizyczn, w kt�rym sze[ pierwszych cyfr oznacza dat urodzenia (rok, miesic, dzieD), kolejne cztery liczb porzdkow i pBe osoby, a ostatnia jest cyfr kontroln, sBu|c do komputerowej kontroli poprawno[ci nadanego numeru ewidencyjnego. Numer ten, wystpujc nawet bez zestawienia z innymi informacjami o osobie, stanowi dane osobowe, a ich przetwarzanie podlega wszelkim rygorom przewidzianym w ustawie o ochronie danych osobowych. 11 Adres poczty elektronicznej Adres poczty elektronicznej bez dodatkowych informacji, umo|liwiajcych ustalenie to|samo[ci osoby zasadniczo nie stanowi danych osobowych. Wystpujcy samodzielnie adres poczty elektronicznej mo|na w wyjtkowych przypadkach uzna za dane osobowe, ale tylko wtedy, gdy elementy jego tre[ci pozwalaj, bez nadmiernych koszt�w, czasu lub dziaBaD na ustalenie na ich podstawie to|samo[ci danej osoby. Dzieje si tak w sytuacji, gdy elementami tre[ci adresu s np. imi i nazwisko jego wBa[ciciela. 12 Dane szczeg�lnie chronione Dane szczeg�lnie chronione wyliczone s w art. 27 ust. 1 ustawy. S to informacje o pochodzeniu rasowym lub etnicznym, pogldach politycznych, religijnych, filozoficznych, wyznaniu, przynale|no[ci do partii lub zwizku, stanie zdrowia, kodzie genetycznym, naBogach, 10 |yciu seksualnym, skazaniach, orzeczeniach o ukaraniu, mandatach i innych orzeczeniach wydanych w postpowaniu przed sdem lub urzdem. Na administrator�w tych danych ustawa nakBada bardziej rygorystyczne obowizki ni| na administrator�w danych zwykBych . 13 Dane zwykBe Nie jest to pojcie zdefiniowane w ustawie o ochronie danych osobowych, ale tak nazywane s dane osobowe poza wymienionymi w art. 27 ust. 1 ustawy. Zaliczamy do nich np. imi, nazwisko, adres zamieszkania, dat urodzenia, nr PESEL. 14 Danymi osobowymi nie s informacje o osobach zmarBych Firmy, urzdy i instytucje publiczne, odmawiajc udzielenia informacji o osobach zmarBych, powoBuj si na ustaw o ochronie danych osobowych. Ustawa o ochronie danych osobowych nie mo|e jednak stanowi podstawy takiej odmowy, poniewa| nie dotyczy ona os�b zmarBych. 15 Przepis�w ustawy o ochronie danych osobowych nie stosuje si do informacji o przedsibiorcach Zakresem przedmiotowym ustawy o ochronie danych osobowych objte s wyBcznie dane dotyczce os�b fizycznych. Jej przepis�w nie stosuje si natomiast do przetwarzania informacji o innych podmiotach, w szczeg�lno[ci o osobach prawnych, jednostkach organizacyjnych nieposiadajcych osobowo[ci prawnej oraz podmiotach prowadzcych dziaBalno[ gospodarcz na podstawie przepis�w ustawy z dnia 2 lipca 2004 r. o swobodzie dziaBalno[ci gospodarczej (Dz.U. nr 173, poz. 1807, z p�zn. zm.) w takim zakresie, w jakim dane te identyfikuj podmiot w obrocie gospodarczym i [ci[le wi| si z prowadzon przez niego dziaBalno[ci gospodarcz. 16 Przetwarzanie danych Przetwarzaniem danych osobowych jest wykonywanie na nich jakichkolwiek operacji. Przetwarzaniem jest zatem ju| samo przechowywanie danych, nawet je[li podmiot faktycznie z nich nie korzysta. W pojciu przetwarzania mie[ci si tak|e ich udostpnianie, zmienianie, modyfikowanie, przekazywanie, zbieranie, utrwalanie, opracowywanie. Ustawa definiuje jedynie pojcie przetwarzania , brak jest natomiast definicji poszczeg�lnych form przetwarzania, takich jak: udostpnianie, przekazywanie. Nale|y je zatem rozumie zgodnie z ich sBownikowym znaczeniem. Ustawa definiuje wszak|e jedn z operacji przetwarzania, a mianowicie operacj usuwania danych. 17 Usuwanie danych Zgodnie z art. 7 pkt 3 ustawy usuwanie danych polega na ich niszczeniu lub modyfikacji. Aby mo|na byBo m�wi o usuniciu danych osobowych, nale|y dokona tej czynno[ci w spos�b niepozwalajcy na odtworzenie ich tre[ci, czyli tak, aby po dokonaniu usunicia danych niemo|liwe byBo zidentyfikowanie os�b, kt�rych dotycz. Istnieje przy tym dowolno[ w wyborze [rodk�w sBu|cych usuwaniu danych. Mo|na zatem, w celu usunicia danych, skorzysta z niszczarki lub zanonimizowa dokument, czyli usun z niego dane osobowe, np. zaczerniajc je, tak aby nie byBo mo|liwe ich odtworzenie. Warto zwr�ci uwag na zjawisko bBd�w popeBnianych przez pracownik�w w procesie niszczenia zbdnych dokument�w zawierajcych dane osobowe. Czstym procederem jest wyrzucanie dokument�w na [mietnik, bez uprzedniego sprawdzenia ich tre[ci. Stanowi to naruszenie norm o zabezpieczeniu danych osobowych, poniewa| umo|liwia zapoznanie si z tre[ci danych osobom nieuprawnionym. 18 Zgoda W my[l art. 7 pkt 5 ustawy o ochronie danych osobowych, przez zgod osoby, kt�rej dane dotycz, rozumie si o[wiadczenie woli, kt�rego tre[ci jest zgoda skBadajcego o[wiadczenie na przetwarzanie jego danych osobowych. Zgoda nie mo|e by domniemana lub dorozumiana z o[wiadczenia woli o innej tre[ci. Z definicji tej nie wynikaj szczeg�Bowe zasady formuBowania klauzul zgody, jednak|e podkre[la si, |e z tre[ci klauzul zgody na przetwarzanie danych osobowych powinno w spos�b niebudzcy wtpliwo[ci wynika, w jakim celu, w jakim zakresie i przez kogo dane osobowe bd przetwarzane. Wyra|ajcy zgod musi mie peBn [wiadomo[ tego, na co si godzi. W przypadku zgody na wykorzystywanie danych osobowych podlegajcych szczeg�lnej ochronie zgoda musi by wyra|ona na pi[mie. 19 Powierzenie Instytucja powierzenia przetwarzania danych, o kt�rej m�wi art. 31 ustawy, ma bardzo istotne znaczenie praktyczne. Zezwala ona administratorowi danych na skorzystanie z usBug wyspecjalizowanych podmiot�w zewntrznych. Oznacza to, |e administrator danych osobowych nie musi osobi[cie wykonywa wszystkich czynno[ci zwizanych z procesem przetwarzania danych osobowych. Mo|e powierzy ich przetwarzanie w caBo[ci lub w cz[ci. Ustawa wymaga, aby umowa powierzenia zawarta byBa na pi[mie oraz wyraznie okre[laBa zakres i cel przetwarzania danych. Zawierajc takie umowy, nale|y pamita o tym, |e administrator nie mo|e przekaza zleceniobiorcy wicej praw, ni| sam posiada. Podmiot przetwarzajcy dane na podstawie umowy powierzenia zawartej z administratorem danych, w rozumieniu przepis�w ustawy nie staje si ich administratorem 20 System informatyczny Pojcie systemu informatycznego okre[lone zostaBo w art. 7 pkt 2a ustawy o ochronie danych osobowych. Zgodnie z brzmieniem tego artykuBu systemem informatycznym jest zesp�B wsp�Bpracujcych ze sob urzdzeD, program�w, procedur przetwarzania informacji i narzdzi programowych zastosowanych w celu przetwarzania danych . 21 Administrator bezpieczeDstwa informacji Wyznaczenie administratora bezpieczeDstwa informacji jest jednym z obowizk�w administratora danych, wynikajcym z art. 36 ust. 3 ustawy, sBu|cym wBa[ciwemu zabezpieczeniu danych. Administrator bezpieczeDstwa informacji nadzoruje przestrzeganie zasad ochrony danych, okre[lonych przez administratora, stosujc odpowiednie do zagro|eD i kategorii danych objtych ochron [rodki techniczne i organizacyjne, kt�re maj zabezpieczy dane przed ich udostpnieniem osobom nieupowa|nionym, zabraniem przez osob nieuprawnion, przetwarzaniem z naruszeniem ustawy oraz zmian, utrat, uszkodzeniem lub zniszczeniem. 22 PODSTAWOWE OBOWIZKI ADMINISTRATORA DANYCH A. Przetwarzanie danych zwykBych Ka|de przetwarzanie zwykBych danych osobowych, czyli dokonywanie na nich jakichkolwiek operacji, np. ich przechowywanie, wykorzystywanie, udostpnianie, zmienianie, nale|y uzasadni speBnieniem jednego z warunk�w okre[lonych w art. 23 ust. 1 ustawy o ochronie danych osobowych. Nale|y podkre[li, |e wymienione w art. 23 ust. 1 ustawy warunki s rozBczne. Oznacza to, |e aby wykorzystywanie danych mo|na byBo uzna za dziaBanie legalne, wystarczajce jest speBnienie jednego z nich, a nie wszystkich Bcznie. 23 Je[li zatem wykorzystywanie danych sBu|y realizacji uprawnienia lub obowizku okre[lonego w przepisach prawa, to nie jest potrzebne dodatkowo |danie zgody osoby na wykorzystywanie danych, ani uzasadnianie, |e przetwarzanie danych sBu|y dobru publicznemu lub niezbdnym celom administratora danych. W szczeg�lno[ci: |danie zgody w�wczas, gdy wykorzystywanie danych sBu|y realizacji normy prawnej, wprowadza w bBd. Sugeruje bowiem mo|liwo[ wyboru, podczas gdy przekazanie danych jest obowizkiem, bez kt�rego cel pozyskania danych nie m�gBby zosta zrealizowany. 24 Przetwarzanie danych zwykBych Przetwarzanie danych osobowych jest mo|liwe, je[li: 1. Osoba, kt�rej dane dotycz, wyrazi na to zgod, chyba |e chodzi o usunicie dotyczcych jej danych. 25 Przetwarzanie danych zwykBych Je[li zgoda jest wymagana, to nale|y pamita w szczeg�lno[ci o jej definicji okre[lonej w art. 7 pkt 5 ustawy i jasnym formuBowaniu tre[ci ewentualnych klauzul zgody na przetwarzanie danych, a tak|e na wyodrbnianie tych klauzul z tre[ci innych o[wiadczeD woli skBadanych przez osob, kt�rej dane dotycz. Ponadto z przepisu tego nie wynika, aby zgoda na wykorzystywanie danych osobowych musiaBa mie form pisemn. Zaleca si j jednak ze wzgld�w dowodowych oraz ze wzgldu na wymagania przepis�w szczeg�lnych, np. Kodeksu postpowania administracyjnego. Pisemna zgoda jest natomiast wymagana w przypadku danych szczeg�lnie chronionych. 26 Przetwarzanie danych zwykBych Przetwarzanie danych osobowych jest mo|liwe, je[li: 2. Jest to niezbdne do zrealizowania uprawnienia lub speBnienia obowizku wynikajcego z przepisu prawa. 27 Przetwarzanie danych zwykBych Warunek ten najcz[ciej uzasadnia wykorzystywanie danych przez podmioty publiczne. DziaBaj one w ramach okre[lonych przepisami prawa i podejmuj czynno[ci w celu wykonania naBo|onych na nie zadaD i realizacji kompetencji. Przetwarzanie przez nie danych osobowych bdzie zawsze uzasadnione, je[li bdzie sBu|yBo wykonaniu prawnie okre[lonych uprawnieD i obowizk�w. 28 Przetwarzanie danych osobowych jest mo|liwe, je[li: 3. Jest to konieczne do realizacji umowy, gdy osoba, kt�rej dane dotycz, jest jej stron lub gdy jest to niezbdne do podjcia dziaBaD przed zawarciem umowy na |danie osoby, kt�rej dane dotycz. 4. Jest niezbdne do wykonania okre[lonych prawem zadaD realizowanych dla dobra publicznego. 29 Przetwarzanie danych osobowych jest mo|liwe, je[li: 5. Jest to niezbdne dla wypeBniania prawnie usprawiedliwionych cel�w realizowanych przez administrator�w danych albo odbiorc�w danych, a przetwarzanie nie narusza praw i wolno[ci osoby, kt�rej dane dotycz. Przy czym, zgodnie z art. 23 ust. 4 ustawy o ochronie danych osobowych, tym prawnie usprawiedliwionym celem jest w szczeg�lno[ci marketing wBasnych produkt�w lub usBug administratora danych bdz dochodzenie roszczeD z prowadzonej przez niego dziaBalno[ci gospodarczej. 30 B. Przetwarzanie danych szczeg�lnie chronionych Wykorzystywanie danych podlegajcych szczeg�lnej ochronie, co do zasady, jest zabronione z mocy art. 27 ust. 1 ustawy. Z danych tych mo|e jednak korzysta ten administrator, kt�ry wyka|e, |e znajduje si w jednej z wyjtkowych sytuacji, opisanych w art. 27 ust. 2 ustawy. 31 Przetwarzanie danych szczeg�lnie chronionych Przetwarzanie takich danych jest dopuszczalne, je[li wyrazi na to pisemn zgod osoba, kt�rej one dotycz (art. 27 ust. 2 pkt 1) lub zezwala na to przepis szczeg�lny innej ustawy, dajcy peBne gwarancje ochrony tych danych (art. 27 ust. 2 pkt 2). Przetwarzanie danych szczeg�lnie chronionych dopuszcza si r�wnie|, je[li nastpuje ono w celu ochrony |ywotnych interes�w osoby, kt�rej dotycz, lub innej osoby, gdy osoba, kt�rej dane dotycz, fizycznie lub prawnie nie jest w stanie wyrazi zgody, do czasu ustanowienia opiekuna prawnego albo kuratora (art. 27 ust. 2 pkt 3); 32 Przetwarzanie danych szczeg�lnie chronionych gdy jest to niezbdne do wykonania statutowych zadaD ko[cioB�w i innych zwizk�w wyznaniowych, stowarzyszeD, fundacji lub innych niezarobkowych organizacji lub instytucji o celach politycznych, naukowych, religijnych, filozoficznych lub zwizkowych, pod warunkiem |e przetwarzanie danych dotyczy wyBcznie czBonk�w tych organizacji lub instytucji albo os�b utrzymujcych z nimi staBe kontakty w zwizku z ich dziaBalno[ci i |e zapewnione s peBne gwarancje ochrony przetwarzanych danych (art. 27 ust. 2 pkt 4); gdy dotyczy danych, kt�re s niezbdne do dochodzenia praw przed sdem (art. 27 ust. 2 pkt 5); 33 Przetwarzanie danych szczeg�lnie chronionych gdy przetwarzanie jest niezbdne do wykonania zadaD administratora zwizanych z zatrudnieniem pracownik�w i innych os�b, a zakres danych jest okre[lony w ustawie (art. 27 ust. 2 pkt 6); gdy jest prowadzone w celu ochrony stanu zdrowia, [wiadczenia usBug medycznych lub leczenia pacjent�w przez osoby trudnice si zawodowo leczeniem lub [wiadczeniem innych usBug medycznych, zarzdzania udzielaniem usBug medycznych i s stworzone peBne gwarancje ochrony danych osobowych (art. 27 ust. 2 pkt 7); gdy dotyczy danych, kt�re zostaBy podane do wiadomo[ci publicznej przez osob, kt�rej dane dotycz (art. 27 ust. 2 pkt 8); 34 Przetwarzanie danych szczeg�lnie chronionych gdy jest to niezbdne do prowadzenia badaD naukowych, w tym do przygotowania rozprawy wymaganej do uzyskania dyplomu ukoDczenia szkoBy wy|szej lub stopnia naukowego, przy czym publikowanie wynik�w badaD naukowych nie mo|e nastpowa w spos�b umo|liwiajcy identyfikacj os�b, kt�rych dane zostaBy przetworzone (art. 27 ust. 2 pkt 9); wtedy gdy przetwarzanie danych jest prowadzone przez stron w celu realizacji praw i obowizk�w wynikajcych z orzeczenia wydanego w postpowaniu sdowym lub administracyjnym (art. 27 ust. 2 pkt 10). 35 SpeBnienie obowizku informacyjnego Momencie pozyskiwania danych ( Art. 24 i art. 25 ustawy), informacji o zasadach ich wykorzystania udziela si osobie, kt�rej dane dotycz, jest to obowizkiem administratora, niezale|nie od tego, czy osoba z wnioskiem o tak informacj wystpuje, czy te| nie. Na ka|dym dalszym etapie przetwarzania danych informacji udziela si wtedy, gdy osoba o to wystpuje. 36 SpeBnienie obowizku informacyjnego Obowizek informacyjny na etapie pozyskania danych ksztaBtuje si w zale|no[ci od zr�dBa, z kt�rego dane pochodz. Dane mog by bowiem pozyskane od osoby, kt�rej dotycz, jak te| od osoby trzeciej. 37 SpeBnienie obowizku informacyjnego Je[li dane zbierane s od osoby, kt�rej dotycz, AD musi poinformowa t osob o: 1. adresie swojej siedziby i peBnej nazwie administratora danych, 2. celu zbierania danych, a w szczeg�lno[ci o znanych mu w czasie udzielania informacji lub przewidywanych odbiorcach lub kategoriach odbiorc�w danych (nale|y w tym miejscu przypomnie, |e odbiorc danych nie jest podmiot, kt�ry dziaBa na podstawie umowy powierzenia), 38 SpeBnienie obowizku informacyjnego 3. prawie do dostpu do tre[ci swoich danych oraz do ich poprawiania, 4. dobrowolno[ci albo obowizku podania danych, a je|eli taki obowizek istnieje, o jego podstawie prawnej. 39 SpeBnienie obowizku informacyjnego Obowizek poinformowania jest jednak wyBczony (art. 24 ust. 2), gdy: przepis innej ustawy zezwala na przetwarzanie danych bez ujawniania faktycznego celu ich zbierania, osoba, kt�rej dane dotycz, posiada ju| informacje, kt�rych udzielenia wymaga art. 24 ust. 1 ustawy. 40 SpeBnienie obowizku informacyjnego Np.: Je|eli osoba przychodzi do urzdu, w sprawie wydania dowodu osobistego, wydania decyzji o warunkach zabudowy, przyznania dodatku mieszkaniowego, to urzdnik mo|e uzna, |e posiada ona informacje, o kt�rych mowa w art. 24 ust. 1 ustawy, je[li wie, |e osoba ta ma [wiadomo[, kto jest administratorem danych, orientuje si co do celu ich zbierania, wie o tym, czy podanie danych jest dobrowolne, czy te| obowizkowe. Wtedy, gdy dochodzi do ponownego zbierania danych (przez tego samego administratora, do tych samych cel�w), mo|na powoBa si na speBniony ju| wcze[niej obowizek poinformowania. 41 SpeBnienie obowizku informacyjnego Je[li dane zbierane s nie od osoby, kt�rej dotycz, administrator danych musi speBni obowizek informacyjny okre[lony w art. 25 ust. 1 ustawy, a wic poinformowa osob, kt�rej dane dotycz, o: 1 4 j.w. 42 SpeBnienie obowizku informacyjnego 5. uprawnieniach wynikajcych z art. 32 ust. 1 pkt 7 i 8: 8) wniesienia sprzeciwu wobec przetwarzania jej danych w przypadkach, gdy administrator danych zamierza je przetwarza w celach marketingowych lub wobec przekazywania jej danych osobowych innemu administratorowi danych, 9) wniesienia do administratora danych |dania ponownego, indywidualnego rozpatrzenia sprawy rozstrzygnitej z naruszeniem art. 26a ust. 1. 43 DSM3 19.03 44 SpeBnienie obowizku informacyjnego obowizek poinformowania powinien zosta speBniony bezpo[rednio po utrwaleniu zebranych danych, a wic po zapisaniu danych w spos�b umo|liwiajcy ich dalsze przetwarzanie. 45 SpeBnienie obowizku informacyjnego Zwolnienia z tego obowizku wymienia art. 25 ust. 2 ustawy, zgodnie z kt�rym informacji udziela nie trzeba, je[li: 1. przepis innej ustawy przewiduje lub dopuszcza zbieranie danych osobowych bez wiedzy osoby, kt�rej dane dotycz, 2. dane s niezbdne do badaD naukowych, dydaktycznych, historycznych, statystycznych lub badania opinii publicznej, ich przetwarzanie nie narusza praw lub wolno[ci osoby, kt�rej dane dotycz, a speBnienie wymagaD okre[lonych w art. 25 ust. 1 wymagaBoby nadmiernych nakBad�w lub zagra|aBoby realizacji celu badania, 46 SpeBnienie obowizku informacyjnego 3. dane s przetwarzane przez podmiot publiczny lub wykonujcy zadania publiczne na podstawie przepis�w prawa, 4. osoba, kt�rej dane dotycz, posiada informacje, kt�re miaByby zosta udzielone. 47 DoBo|enie szczeg�lnej staranno[ci w celu ochrony interes�w os�b Administrator przetwarzajcy dane jest zobowizany w szczeg�lno[ci zapewni, aby dane osobowe: wykorzystywane byBy zgodnie z prawem; byBy zbierane dla jasno okre[lonych, zgodnych z prawem cel�w i nie byBy wykorzystywane do innych cel�w ni| te, dla kt�rych zostaBy zebrane (zasada celowo[ci). 48 DoBo|enie szczeg�lnej staranno[ci w celu ochrony interes�w os�b 3. byBy aktualne, a ich tre[ zgodna ze stanem faktycznym (zasada merytorycznej poprawno[ci danych); 4. byBy adekwatne do celu ich wykorzystania zakres danych nie mo|e wykracza poza niezbdny do zrealizowania celu, jakiemu przetwarzanie danych ma sBu|y (zasada adekwatno[ci); 5. nie byBy wykorzystywane dBu|ej, ni| wymaga tego realizacja celu, dla kt�rego zostaBy zgromadzone. Je[li zatem cel, do realizacji kt�rego dane osobowe pozyskano, zostaB osignity, to nale|y dane usun. 49 Zastosowanie [rodk�w technicznych i organizacyjnych zapewniajcych ochron danych osobowych zastosowania [rodk�w technicznych i organizacyjnych odpowiednich do zagro|eD oraz kategorii danych objtych ochron; zabezpieczenia danych przed ich udostpnieniem osobom nieupowa|nionym, zabraniem przez osob nieuprawnion, przetwarzaniem niezgodnie z ustaw oraz zmian, utrat, uszkodzeniem lub zniszczeniem; prowadzenia dokumentacji opisujcej spos�b przetwarzania danych oraz podjte [rodki organizacyjne i techniczne na dokumentacj skBada si polityka bezpieczeDstwa i instrukcja zarzdzania systemem informatycznym; 50 Zastosowanie [rodk�w technicznych i organizacyjnych zapewniajcych ochron danych osobowych wyznaczenia administratora bezpieczeDstwa informacji, tj. osoby odpowiedzialnej za nadz�r nad procesem przetwarzania zaleca si, aby posiadaBa ona wiedz w zakresie ochrony danych osobowych, niezbdn w celu efektywnego wypeBniania tej funkcji; nadania upowa|nieD osobom majcym dostp do danych osobowych. 51 Zastosowanie [rodk�w technicznych i organizacyjnych zapewniajcych ochron danych osobowych zapewnienia kontroli nad tym, jakie dane osobowe, kiedy i przez kogo zostaBy do zbioru wprowadzone oraz komu s przekazywane. Spos�b sprawowania takiej kontroli okre[la administrator danych, uwzgldniajc przede wszystkim podjte [rodki organizacyjne i techniczne. 52 Zastosowanie [rodk�w technicznych i organizacyjnych zapewniajcych ochron danych osobowych Obowizek upowa|nienia os�b wynika z art. 37 ustawy. Biorc pod uwag cele dowodowe oraz konieczno[ sporzdzenia ewidencji upowa|nieD, upowa|nienie powinno mie form pisemn i zawiera nazw (nazwisko), imi i nazwisko osoby upowa|niajcej do przetwarzania danych osobowych, dat nadania i ustania upowa|nienia. Nale|y r�wnie| okre[li zakres danych, do kt�rych osoba ma dostp, oraz nazw zbioru. W ewidencji os�b upowa|nionych musz si znalez nastpujce informacje: imi i nazwisko osoby upowa|nionej, data nadania, ustania oraz zakres upowa|nienia do przetwarzania danych, a tak|e identyfikator, je[li dane przetwarzane s w systemie informatycznym. Osoby upowa|nione do dostpu do danych osobowych musz zachowa je w tajemnicy; 53 ZgBoszenie zbioru do rejestracji Na administratorze danych spoczywa wynikajcy z art. 40 ustawy obowizek zgBoszenia zbioru danych osobowych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych. Wyjtki od tej zasady wyliczone zostaBy w art. 43 ust. 1 ustawy. Ka|dy administrator przed zgBoszeniem zbioru powinien sprawdzi, czy prowadzony przez niego zbi�r nie podlega, w my[l tych przepis�w, zwolnieniu z obowizku zgBoszenia do rejestracji. Zwolnienie z tego obowizku nie oznacza zwolnienia z pozostaBych obowizk�w wynikajcych z przepis�w o ochronie danych osobowych. 54 Art. 43. 1. Z obowizku rejestracji zbioru danych zwolnieni s administratorzy danych: 1) objtych tajemnic paDstwow ze wzgldu na obronno[ lub bezpieczeDstwo paDstwa, ochron |ycia i zdrowia ludzi, mienia lub bezpieczeDstwa i porzdku publicznego, 1a)24) kt�re zostaBy uzyskane w wyniku czynno[ci operacyjno-rozpoznawczych przez funkcjonariuszy organ�w uprawnionych do tych czynno[ci, 2)25) przetwarzanych przez wBa[ciwe organy dla potrzeb postpowania sdowego oraz na podstawie przepis�w o Krajowym Rejestrze Karnym, 2a)26) przetwarzanych przez Generalnego Inspektora Informacji Finansowej, 55 2b) przetwarzanych przez wBa[ciwe organy na potrzeby udziaBu Rzeczypospolitej Polskiej w Systemie Informacyjnym Schengen oraz Systemie Informacji Wizowej, 3) dotyczcych os�b nale|cych do ko[cioBa lub innego zwizku wyznaniowego, o uregulowanej sytuacji prawnej, przetwarzanych na potrzeby tego ko[cioBa lub zwizku wyznaniowego, 4) przetwarzanych w zwizku z zatrudnieniem u nich, [wiadczeniem im usBug na podstawie um�w cywilnoprawnych, a tak|e dotyczcych os�b u nich zrzeszonych lub uczcych si, 56 5)27) dotyczcych os�b korzystajcych z ich usBug medycznych, obsBugi notarialnej, adwokackiej, radcy prawnego, rzecznika patentowego, doradcy podatkowego lub biegBego rewidenta, 6) tworzonych na podstawie przepis�w dotyczcych wybor�w do Sejmu, Senatu, Parlamentu Europejskiego, rad gmin, rad powiat�w i sejmik�w wojew�dztw, wybor�w na urzd Prezydenta Rzeczypospolitej Polskiej, na w�jta, burmistrza, prezydenta miasta oraz dotyczcych referendum og�lnokrajowego i referendum lokalnego, 7) dotyczcych os�b pozbawionych wolno[ci na podstawie ustawy, w zakresie niezbdnym do wykonania tymczasowego aresztowania lub kary pozbawienia 57 wolno[ci, 8) przetwarzanych wyBcznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczo[ci finansowej, 9) powszechnie dostpnych, 10) przetwarzanych w celu przygotowania rozprawy wymaganej do uzyskania dyplomu ukoDczenia szkoBy wy|szej lub stopnia naukowego, 11) przetwarzanych w zakresie drobnych bie|cych spraw |ycia codziennego. 58 2. W odniesieniu do zbior�w, o kt�rych mowa w ust. 1 pkt 1 i 3, oraz zbior�w, o kt�rych mowa w ust. 1 pkt 1a, przetwarzanych przez Agencj BezpieczeDstwa Wewntrznego, Agencj Wywiadu, SBu|b Kontrwywiadu Wojskowego, SBu|b Wywiadu Wojskowego oraz Centralne Biuro Antykorupcyjne, Generalnemu Inspektorowi nie przysBuguj uprawnienia okre[lone w art. 12 pkt 2, art. 14 pkt 1 i 3--5 oraz art. 15--18. 59 UDOSTPNIANIE DANYCH OSOBOWYCH Og�lne zasady udostpniania danych w celu wBczenia ich do zbioru Biorc pod uwag, |e udostpnianie danych jest jedn z form ich przetwarzania, jest ono dopuszczalne wtedy, gdy speBniony jest jeden z warunk�w, o kt�rym mowa w art. 23 ust. 1 ustawy (artykuB okre[la warunki, kt�re uzasadniaj udostpnianie danych zwykBych ) bdz w art. 27 ust. 2 ustawy (artykuB wylicza sytuacje, kt�re uzasadniaj udostpnienie danych szczeg�lnie chronionych). 60 UDOSTPNIANIE DANYCH OSOBOWYCH Akta stanu cywilnego Zgodnie z art. 79 tej ustawy, z ksig stanu cywilnego wydaje si: odpisy zupeBne i skr�cone akt�w stanu cywilnego; za[wiadczenia o dokonanych w ksigach stanu cywilnego wpisach lub o ich braku; za[wiadczenia o zaginiciu lub zniszczeniu ksigi stanu cywilnego. Przepisy tej ustawy wymieniaj dane osobowe, jakie nale|y zamie[ci w poszczeg�lnych dokumentach. Odpisy oraz za[wiadczenia, o kt�rych mowa, wydaje si na wniosek sdu lub innego organu paDstwowego, osoby, kt�rej stan cywilny zostaB w akcie stwierdzony, jej wstpnego, zstpnego, rodzeDstwa, maB|onka lub przedstawiciela ustawowego (art. 83 ust. 1). 61 UDOSTPNIANIE DANYCH OSOBOWYCH Zgodnie z art. 83 ust. 2 tej ustawy odpisy akt�w stanu cywilnego i za[wiadczenia o dokonanych w ksigach stanu cywilnego wpisach lub o ich braku mog by r�wnie| wydane na wniosek innych os�b ni| wymienione w ust. 1, kt�re wyka| w tym interes prawny, oraz na wniosek organizacji spoBecznej, je|eli jest to uzasadnione celami statutowymi tej organizacji i gdy przemawia za tym interes spoBeczny. Za[wiadczenie o zaginiciu lub zniszczeniu ksigi stanu cywilnego mo|e by tak|e wydane na wniosek innych zainteresowanych os�b. 62 UDOSTPNIANIE DANYCH OSOBOWYCH Ewidencja grunt�w i budynk�w Zgodnie z art. 24 ust. 2 Prawa geodezyjnego i kartograficznego, informacje o gruntach, budynkach i lokalach zawarte w operacie ewidencyjnym s jawne. 63 UDOSTPNIANIE DANYCH OSOBOWYCH Ewidencja ludno[ci Dane ze zbior�w meldunkowych, zbioru PESEL oraz ewidencji wydanych i utraconych dowod�w osobistych mog by udostpnione osobom i jednostkom organizacyjnym je|eli wyka| w tym interes prawny; stosownie za[ do brzmienia jego pkt 4 r�wnie| innym osobom i podmiotom je|eli uwiarygodni one interes faktyczny w otrzymaniu danych i za zgod os�b, kt�rych dane dotycz . 64 BEZPIECZECSTWO DANYCH OSOBOWYCH 65 BEZPIECZECSTWO DANYCH OSOBOWYCH Administrator danych osobowych zobowizany jest do zapewnienia ochrony przetwarzanych danych osobowych przed ich udostpnieniem osobom nieupowa|nionym, zabraniem przez osob nieuprawnion, przetwarzaniem z naruszeniem ustawy oraz zmian, utrat, uszkodzeniem lub zniszczeniem. 66 BEZPIECZECSTWO DANYCH OSOBOWYCH Administrator danych zobowizany jest zapewni kontrol nad tym, jakie dane osobowe, kiedy i przez kogo zostaBy do zbioru wprowadzone oraz komu s przekazywane. Czyli zapewnienie i udostpnienie na |danie osoby, kt�rej dane s przetwarzane informacji o: 67 BEZPIECZECSTWO DANYCH OSOBOWYCH dacie, od kiedy przetwarza si w zbiorze jej dane osobowe, oraz tre[ci tych danych, zr�dle, z kt�rego pochodz dane jej dotyczce, chyba |e administrator jest obowizany do zachowania w tym zakresie tajemnicy paDstwowej, sBu|bowej lub zawodowej, sposobie i zakresie udostpniania jej danych, a w szczeg�lno[ci informacji o odbiorcach lub kategoriach odbiorc�w, kt�rym dane te s udostpniane, sposobie, w jaki zebrano dane. 68 BEZPIECZECSTWO DANYCH OSOBOWYCH Przez pojcie zapewnienia ochrony przetwarzanym danym nale|y rozumie dziaBanie majce na celu zabezpieczenie przed czym[ zBym, niekorzystnym, niebezpiecznym. W odniesieniu do danych osobowych bd to dziaBania majce na celu zapewnienie, aby byBy one pozyskiwane i przetwarzane zgodnie z przepisami prawa. Oznacza to miedzy innymi, |e powinny by one wykorzystywane tylko w okre[lonym celu, zabezpieczone przed nieuprawnionymi zmianami, ujawnieniem nieupowa|nionym osobom, zniszczeniem, utrat lub uszkodzeniem. 69 BEZPIECZECSTWO DANYCH OSOBOWYCH BEZPIECZECSTWO INFORMACJI wszystkie aspekty zwizane z definiowaniem, osiganiem i utrzymywaniem: poufno[ci, integralno[ci, dostpno[ci, niezaprzeczalno[ci, rozliczalno[ci autentyczno[ci i niezawodno[ci informacji i system�w, w kt�rych s one przetwarzane. 70 BEZPIECZECSTWO DANYCH OSOBOWYCH Poufno[ zapewnieniu, |e informacja nie jest udostpniana lub ujawniana nieautoryzowanym osobom, podmiotom lub procesom, Integralno[ zapewnieniu, |e dane nie zostaBy zmienione lub zniszczone w spos�b nieautoryzowany, Dostpno[ zapewnieniu bycia osigalnym i mo|liwym do wykorzystania na |danie, w zaBo|onym czasie, przez autoryzowany podmiot, 71 BEZPIECZECSTWO DANYCH OSOBOWYCH Rozliczalno[ zapewnieniu, |e dziaBania podmiotu mog by przy pisane w spos�b jednoznaczny tylko temu podmiotowi, Autentyczno[ zapewnieniu, |e to|samo[ podmiotu lub zasobu jest taka, jak deklarowana (autentyczno[ dotyczy u|ytkownik�w, proces�w, system�w i informacji), 72 BEZPIECZECSTWO DANYCH OSOBOWYCH Niezaprzeczalno[ braku mo|liwo[ci wyparcia si swego uczestnictwa w caBo[ci lub w cz[ci wymiany danych przez jeden z podmiot�w uczestniczcych w tej wymianie, Niezawodno[ zapewnieniu sp�jno[ci oraz zamierzonych zachowaD i skutk�w. 73 BEZPIECZECSTWO DANYCH OSOBOWYCH Zapewnienie a nastpnie wykazanie okre[lonych wBa[ciwo[ci wymaga czsto zastosowania okre[lonych [rodk�w i jednoczesnego speBnienia wielu warunk�w. Zapewnienie np. niezaprzeczalno[ci podpisu elektronicznego (wykazanie, |e dany dokument elektroniczny podpisaBa okre[lona osoba) wymaga udowodnienia, |e dany dokument nie zostaB zmieniony (integralno[), a zBo|ony podpis nale|y do danej osoby (uwierzytelnienie). 74 BEZPIECZECSTWO DANYCH OSOBOWYCH Gdy do przetwarzania danych osobowych wykorzystuje si systemy informatyczne, zadania dotyczce zapewnienia okre[lonych wBa[ciwo[ci przenoszone s na odpowiednie wymagania dotyczce wBa[ciwo[ci tych system�w. Dodatkowy problem, jaki w�wczas powstaje, polega na zapewnieniu skuteczno[ci i cigBo[ci zachowywania przez systemy informatyczne wymaganych wBa[ciwo[ci. 75 POLITYKA BEZPIECZECSTWA Zgodnie z � 3 i � 4 rozporzdzenia administrator danych obowizany jest do opracowania w formie pisemnej i wdro|enia polityki bezpieczeDstwa. Pojcie polityka bezpieczeDstwa u|yte w rozporzdzeniu nale|y rozumie jako zestaw praw, reguB i praktycznych do[wiadczeD dotyczcych sposobu zarzdzania, ochrony i dystrybucji danych osobowych wewntrz okre[lonej 76 organizacji. POLITYKA BEZPIECZECSTWA cel polityki bezpieczeDstwa: zapewnienie kierunk�w dziaBania i wsparcie kierownictwa dla bezpieczeDstwa informacji. Dokument polityki bezpieczeDstwa powinien deklarowa zaanga|owanie kierownictwa i wyznacza podej[cie instytucji do zarzdzania bezpieczeDstwem informacji. 77 POLITYKA BEZPIECZECSTWA Minimum dokumentu okre[lajcego polityk bezpieczeDstwa: mechanizm umo|liwiajcy wsp�Bu|ytkowanie informacji; o[wiadczenie o intencjach kierownictwa, potwierdzajce cele i zasady bezpieczeDstwa informacji w odniesieniu do strategii i wymagaD; 78 POLITYKA BEZPIECZECSTWA struktur wyznaczania cel�w stosowania zabezpieczeD, w tym struktur szacowania i zarzdzania ryzykiem; kr�tkie wyja[nienie polityki bezpieczeDstwa, zasad, norm i wymagaD zgodno[ci majcych szczeg�lne znaczenie dla organizacji, zawierajce: 79 POLITYKA BEZPIECZECSTWA 1) zgodno[ z prawem, regulacjami wewntrznymi i wymaganiami wynikajcymi z um�w; 2) wymagania dotyczce ksztaBcenia, szkoleD i u[wiadamiania w dziedzinie bezpieczeDstwa; 3) zarzdzanie cigBo[ci dziaBania biznesowego; 4) konsekwencje naruszenia polityki 80 bezpieczeDstwa; POLITYKA BEZPIECZECSTWA definicje og�lnych i szczeg�lnych obowizk�w w odniesieniu do zarzdzania bezpieczeDstwem informacji, w tym zgBaszania incydent�w zwizanych z bezpieczeDstwem informacji; odsyBacze do dokumentacji mogcej uzupeBnia polityk, np. bardziej szczeg�Bowych polityk bezpieczeDstwa i procedur dotyczcych poszczeg�lnych system�w informatycznych lub zalecanych do przestrzegania przez u|ytkownik�w zasad bezpieczeDstwa. 81 POLITYKA BEZPIECZECSTWA PrawidBowe zarzdzanie zasobami, zwBaszcza w aspekcie bezpieczeDstwa informacji, wymaga wBa[ciwej identyfikacji tych zasob�w oraz okre[lenia miejsca i sposobu ich przechowywania. Wyb�r za[ odpowiednich dla poszczeg�lnych zasob�w metod zarzdzania ich ochron i dystrybucj zale|ny jest od zastosowanych no[nik�w informacji, rodzaju urzdzeD, sprztu komputerowego i oprogramowania. 82 POLITYKA BEZPIECZECSTWA Polityka bezpieczeDstwa powinna zawiera w szczeg�lno[ci nastpujce punkty: 1) wykaz budynk�w, pomieszczeD lub cz[ci pomieszczeD, tworzcych obszar, w kt�rym przetwarzane s dane osobowe; 2) wykaz zbior�w danych osobowych wraz ze wskazaniem program�w zastosowanych do przetwarzania tych danych; 83 POLITYKA BEZPIECZECSTWA 3) opis struktury zbior�w danych wskazujcy zawarto[ poszczeg�lnych p�l informacyjnych i powizania midzy nimi; 4) spos�b przepBywu danych pomidzy poszczeg�lnymi systemami; 5) okre[lenie [rodk�w technicznych i organizacyjnych niezbdnych dla zapewnienia poufno[ci, integralno[ci i rozliczalno[ci przy przetwarzaniu danych. 84 POLITYKA BEZPIECZECSTWA Okre[lajc obszar przetwarzania danych osobowych, nale|y pamita, i| zgodnie z ustaw, przetwarzaniem danych osobowych nazywamy jakiekolwiek operacje wykonywane na danych osobowych, takie jak: zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostpnianie i usuwanie, a zwBaszcza te, kt�re wykonuje si w systemach informatycznych. 85 POLITYKA BEZPIECZECSTWA Wa|nym elementem identyfikacji zasob�w informacyjnych jest wskazanie nazw zbior�w danych oraz system�w informatycznych u|ywanych do ich przetwarzania. Std te|, opr�cz wskazania obszaru przetwarzania danych, polityka bezpieczeDstwa powinna identyfikowa zbiory danych osobowych oraz systemy informatyczne u|ywane do ich przetwarzania. 86 Minimalne wymagania funkcjonalne dotyczce kontroli dostpu do danych Je|eli dostp do danych przetwarzanych w systemie informatycznym posiadaj co najmniej dwie osoby, w�wczas zapewnia si, aby: a) w systemie tym rejestrowany byB dla ka|dego u|ytkownika odrbny identyfikator; b) dostp do danych byB mo|liwy wyBcznie po wprowadzeniu identyfikatora i dokonaniu uwierzytelnienia. 87 Minimalne wymagania dotyczce systemu uwierzytelnienia Metoda wykorzystujca znany tylko danemu u|ytkownikowi sekret, nazywana r�wnie| metod typu co wiem. Jest najcz[ciej stosowana. Uwierzytelnienie u|ytkownika polega w niej na wprowadzeniu identyfikatora i znanego tylko temu u|ytkownikowi hasBa. 88 Minimalne wymagania dotyczce systemu uwierzytelnienia Metoda wykorzystujca posiadanie przedmiotu o okre[lonych wBasno[ciach, nazywana r�wnie| metod typu co posiadam. Polega ona na weryfikacji cech dostarczonego przez uwierzytelniajc si osob przedmiotu, np. karty magnetycznej, karty mikroprocesorowej tokenu, itp. 89 Minimalne wymagania dotyczce systemu uwierzytelnienia Metody wykorzystujce dane biometryczne charakterystyczne dla danego u|ytkownika, zwane metodami typu kim jestem. Uwierzytelnienie wykonywane jest w nich poprzez por�wnanie danych biometrycznych przypisanych w systemie u|ytkownikowi o danym identyfikatorze z danymi biometrycznymi charakteryzujcymi uwierzytelniajc si osob. 90 Minimalne wymagania funkcjonalne wynikajce z obowizku informacyjnego System musi odnotowa: 1) daty pierwszego wprowadzenia danych do systemu; 2) identyfikatora u|ytkownika wprowadzajcego dane osobowe do systemu, chyba |e dostp do systemu informatycznego i przetwarzanych w nim danych posiada wyBcznie jedna osoba; 91 Minimalne wymagania funkcjonalne wynikajce z obowizku informacyjnego 3) zr�dBa danych, w przypadku zbierania danych, nie od osoby, kt�rej one dotycz; 4) informacji o odbiorcach, kt�rym dane osobowe zostaBy udostpnione, dacie i zakresie tego udostpnienia; 5) sprzeciwu. 92 POZIOMY BEZPIECZECSTWA SYSTEMU INFORMATYCZNEGO Trzy poziomy bezpieczeDstwa systemu: podstawowy, Podwy|szony, Wysoki. 93 POZIOMY BEZPIECZECSTWA SYSTEMU INFORMATYCZNEGO Zabezpieczenia na poziomie co najmniej podstawowym nale|y stosowa, gdy: 1) w systemie informatycznym nie s przetwarzane dane podlegajce szczeg�lnej ochronie, oraz 2) |adne z urzdzeD systemu informatycznego, sBu|cego do przetwarzania danych osobowych nie jest poBczone z sieci publiczn. 94 POZIOMY BEZPIECZECSTWA SYSTEMU INFORMATYCZNEGO Zabezpieczenia na poziomie co najmniej podwy|szonym nale|y stosowa, gdy: 1) w systemie informatycznym przetwarzane s dane osobowe podlegajce szczeg�lnej ochronie, oraz 2) |adne z urzdzeD systemu informatycznego, sBu|cego do przetwarzania danych osobowych nie jest poBczone z sieci publiczn. 95 POZIOMY BEZPIECZECSTWA SYSTEMU INFORMATYCZNEGO Gdy przynajmniej jedno urzdzenie systemu informatycznego, sBu|cego do przetwarzania danych osobowych, poBczone jest z sieci publiczn, nale|y stosowa zabezpieczenia na poziomie wysokim 96 Dzikuj 97

Wyszukiwarka

Podobne podstrony:
Prezentacja suplementy i ochrona danych osobowych
Ustawa z dnia 29 sierpnia 1997 r o ochronie danych osobowych
ustawa o ochronie danych osobowych
kołaczek,bezpieczeństwo i ochrona danych, opracowanie wykładu
O ochronie danych osobowych (USTAWA z dnia 29 sierpnia 1997 r )
Gliniecki W Ochrona danych osobowych i informacji niejawnych
Ustawa o ochronie danych osobowych
Ustawa o ochronie danych osobowych

więcej podobnych podstron