Rodzaje danych (informacji) m.in.:

Podmioty przetwarzające dane:� podmioty publiczne,� podmioty prywatne.

Przetwarzane dane mogą być zebranew zbiorach (bazach) danych.

Dane finansowe

Dane handlowe

Dane technologiczneDane osobowe

Nakładające obowiązki na przetwarzającego dane:� ustawa o informatyzacji działalności podmiotów realizujących

zadania publiczne i w szczególności rozporządzenie o KrajowychRamach Interoperacyjności,

� ustawa o ochronie informacji niejawnych i akty wykonawcze,� ustawa o ochronie danych osobowych i akty wykonawcze.

Przeciwdziałające nieuprawnionym czynnościom w stosunku dodanych:� kodeks karny (przestępstwa przeciwko ochronie informacji),� ustawa o zwalczaniu nieuczciwej konkurencji – ochrona tajemnicy

przedsiębiorstwa,� Kodeks cywilny.

� Ustawę oraz Krajowe Ramy Interoperacyjności stosuje się dorealizujących zadania publiczne m.in.:� organów administracji rządowej,� organów ochrony prawa i sądów,� jednostek samorządu terytorialnego;- podmioty publiczne.

� Minimalne wymagania dla systemów teleinformatycznych oraz wymógspełnienia interoperacyjności systemów zgodnie z Krajowymi RamamiInteroperacyjności.

� Rejestry publiczne prowadzone przy użyciu systemówteleinformatycznych.

� Udostępnianie danych za pomocą środków komunikacji elektronicznej.

� Informacje niejawne – informacje, których nieuprawnione ujawnienie

spowodowałoby lub mogłoby spowodować szkody dlaRzeczypospolitej Polskiej albo byłoby z punktu widzenia jej

interesów niekorzystne, także w trakcie ich opracowywania orazniezależnie od formy i sposobu ich wyrażania.

� Klasyfikowanie informacji niejawnych:

Zastrzeżone Poufne Tajne Ściśle tajne

� Kierownik jednostki organizacyjnej odpowiada za ochronę informacjiniejawnych.

� Wymóg odbycia szkolenia w zakresie informacji niejawnych oraz (niedotyczy to informacji o klauzuli zastrzeżone) uzyskania

poświadczenia bezpieczeństwa.

� Warunkiem dostępu przedsiębiorcy do informacji niejawnych w związkuz wykonywaniem umów albo zadań wynikających z przepisów prawajest legitymowanie się świadectwem bezpieczeństwa

przemysłowego wydawanym przez ABW lub SKW – nie dotyczy toinformacji o klauzuli zastrzeżone oraz jednoosobowychprzedsiębiorców.

� Przez tajemnicę przedsiębiorstwa rozumie się:� nieujawnione do wiadomości publicznej informacje techniczne,

technologiczne, organizacyjne przedsiębiorstwa lub inneinformacje posiadające wartość gospodarczą, co do których

przedsiębiorca podjął niezbędne działania w celu zachowania

ich poufności.

� Czynem nieuczciwej konkurencji jest przekazanie, ujawnienie lubwykorzystanie cudzych informacji stanowiących tajemnicę

przedsiębiorstwa albo ich nabycie od osoby nieuprawnionej, jeżelizagraża lub narusza interes przedsiębiorcy.

� Ustawa wiąże co do zasady wszystkie podmioty przetwarzające daneosobowe. Przykładowy wyjątek: osoby fizyczne, które przetwarzajądane wyłącznie w celach osobistych lub domowych.

� Za dane osobowe uważa się wszelkie informacje dotyczące

zidentyfikowanej lub możliwej do zidentyfikowania osoby

fizycznej. Istotna jest możliwość określenia tożsamości danej osoby.

� Administrator danych – osoba decydująca o celach i środkachprzetwarzania danych.

� Przetwarzanie danych osobowych jest dopuszczalne tylko napodstawie określonych przesłanek.

� Zgoda osoby, której dane dotyczą.

� Niezbędność do wykonania uprawnienia lub obowiązku wynikającego

z przepisu prawa.

� Konieczność realizacji umowy, gdy osoba, której dane dotyczą, jestjej stroną lub gdy jest to niezbędne do podjęcia działań przedzawarciem umowy na żądanie osoby, której dane dotyczą.

� Niezbędność do wykonania określonych prawem zadań

realizowanych dla dobra publicznego.

� Niezbędność dla wypełnienia prawnie usprawiedliwionych celów

realizowanych przez administratorów danych albo odbiorców danych, aprzetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.

� Co do zasady zabrania się przetwarzania danych wrażliwych.

� Obowiązek informacyjny jest różny – w zależności od tego czy daneosobowe uzyskiwane są od osoby, której one dotyczą, czy też z innychźródeł.

� Obowiązek informacyjny należy co do zasady zawsze zrealizować:� w trakcie zbierania danych - w przypadku, gdy dane pochodzą od

osoby, której dane dotyczą albo� bezpośrednio po utrwaleniu zebranych danych – w przypadku, gdy

dane zostały zebrane z innych źródeł.

� Administrator danych jest obowiązany zapewnić, aby przetwarzaneprzez niego dane były adekwatne do celów, w jakich są przetwarzane.

� Administrator danych może powierzyć innemu podmiotowi(Przetwarzający), w drodze umowy zawartej na piśmie, przetwarzaniedanych.

� Przetwarzający może przetwarzać dane wyłącznie w zakresie i celu

przewidzianym w umowie z administratorem danych.

� Przetwarzającego wiążą przepisy ustawy o ochronie danychosobowych w zakresie zabezpieczenia zbioru danych.

� Administrator danych jest obowiązany zastosować środki techniczne iorganizacyjne zapewniające ochronę przetwarzanych danychosobowych odpowiednią do zagrożeń oraz kategorii danych objętychochroną.

Administrator danych

udziela upoważnień

prowadzi ewidencję osób upoważnionych

prowadzi dokumentację (sposób przetwarzania

danych oraz środki techniczne i organizacyjne)

polityka bezpieczeństwa

instrukcja zarządzania systemem informatycznym

zabezpiecza dane osobowe

inne dokumenty, regulaminy

Rozporządzenie o środkach technicznych i organizacyjnych

polityka bezpieczeństwa: w tym kwestia struktury zbiorów danych

(zawartości pól i powiązań między nimi)

instrukcja zarządzania systemem informatycznym

zawierająca m.in.System informatyczny

data pierwszego wprowadzenia danych

identyfikator użytkownika wprowadzającego dane

osobowe

metody i środki uwierzytelnienia oraz

procedury zarządzania i użytkowania

procedury tworzenia kopii zapasowych zbiorów

danych oraz programów i narzędzi programowych

sposób zabezpieczenia systemu informatycznego przed nieautoryzowanym

dostępem

Rozporządzenie o środkach technicznych i organizacyjnych zobowiązuje

również administratora danych, aby:

� zabezpieczył obszar przetwarzania danych przed dostępem osóbnieuprawnionych na czas nieobecności w nim osób upoważnionych doprzetwarzania danych osobowych

� w systemie informatycznym służącym do przetwarzania danych osobowychstosował mechanizmy kontroli dostępu do tych danych – dla każdegoużytkownika indywidualny identyfikator oraz hasło składające się z 8

znaków zawierających małe i wielkie litery oraz cyfry lub znaki specjalne –hasło należy zmieniać nie rzadziej niż co 30 dni

� wykonywał kopie zapasowe zbiorów danych

� zabezpieczał kopie zapasowe przed ich nieuprawnionym przejęciem

� stosował środki kryptograficznej ochrony wobec danych wykorzystywanychdo uwierzytelnienia, które są przesyłane w sieci publicznej

� ABI może być powołany, ale nie musi.

� Kompetencje ABI są określone ustawowo.

� ABI ma pełnić funkcję samodzielnego podmiotu nadzorującegoprawidłowe przetwarzanie danych u administratora danych.

� Obowiązany jest m.in. do sprawdzania zgodności przetwarzaniadanych osobowych z przepisami o ochronie danych osobowych orazopracowania w tym zakresie sprawozdania dla administratora danych –szczegóły w rozporządzeniu wykonawczym.

� Powołanie i zgłoszenie ABI do GIODO przez administratora danychumożliwia niezgłaszanie zbiorów danych osobowych do rejestruzbiorów danych osobowych GIODO – nie dotyczy to zbiorów danychwrażliwych.

� ABI obowiązany jest prowadzić jawny rejestr zbiorów danychistniejących u administratora danych.

� Obowiązek rejestracji zbiorów danych osobowych u GIODO jakozasada.

� Przykładowe wyłączenia od obowiązku rejestracji:� zbiór danych przetwarzanych w związku z zatrudnieniem u

administratora danych, świadczeniem administratorowi danychusług na podstawie umów cywilnoprawnych,

� zbiór danych dotyczących osób zrzeszonych lub uczących się u

administratora danych,� zbiór danych zawierających informacje niejawne.

� Rejestracja zbiorów danych może nastąpić w ramach platformy e-GIODO. Tam też znajduje się interaktywny formularz, który możnawypełnić.

� Przekazywanie danych do podmiotu spoza Europejskiego ObszaruGospodarczego (EOG) a nawet oddziału, czy jednostki przedsiębiorcyposiadającego siedzibę na terenie EOG, która to jednostka znajduje siępoza EOG, wymaga spełnienia dodatkowych przesłanek.

� Administrator danych może przekazać dane osobowe do państwatrzeciego, m.in. jeżeli:� osoba, której dane dotyczą, udzieliła na to zgody na piśmie,� przekazanie jest niezbędne do wykonania umowy pomiędzy

administratorem danych a osobą, której dane dotyczą,� dane są ogólnie dostępne.

� Jeżeli na podstawie ustawy lub aktu prawa europejskiego (m.in.decyzje Komisji w sprawie odpowiedniej ochrony danych osobowych)nie ma podstaw do przekazania danych, należy uzyskać zgodę GIODOna przekazanie danych lub uzyskać zatwierdzenie wiążących reguł

korporacyjnych.

� Odpowiedzialność cywilną może ponosić zarówno sam administratordanych, jak i osoba, która wykorzystując dane przetwarzane przezadministratora danych wyrządziła szkodę.

� Odpowiedzialność administratora danych względem osoby, której danedotyczą opiera się na ochronie dóbr osobistych człowieka.� W związku z naruszeniem dóbr osobistych osobie, której dane

dotyczą przysługuje m.in. prawo do dochodzeniazadośćuczynienia pieniężnego za doznaną krzywdę.

� Odpowiedzialność osoby, która przekazuje, ujawnia, wykorzystujetajemnicę przedsiębiorstwa administratora danych.� Istnienie obowiązku wydania bezpodstawnie uzyskanych korzyści,� Naprawienie szkody spowodowanej czynem nieuczciwej

konkurencji, w tym poniesionych strat oraz utraconych korzyści.

� Naruszenie ustawy o ochronie danych osobowych skutkujewszczęciem postępowania administracyjnego przez GIODO orazwydaniem przez ten organ decyzji administracyjnej nakazującejprzywrócenie stanu zgodnego z prawem.

� Decyzja jest wydana w stosunku do administratora danych, gdyż tenpodmiot przetwarza dane osobowe – decyduje o celach i środkachprzetwarzania danych.

� Decyzja administracyjna nie jest karą finansową.

� Dopiero w przypadku niewykonania decyzji administracyjnej przezadministratora danych, GIODO jest uprawniony do nałożenia naadministratora danych grzywny w celu przymuszenia.

� Odpowiedzialność karna za naruszenie przepisów o szeroko pojętymbezpieczeństwie danych wynika m.in. z:� rozdziału XXXIII ustawy Kodeks karny – przestępstwa przeciwko

ochronie informacji,� art. 23 ustawy o zwalczaniu nieuczciwej konkurencji –

przestępstwo ujawnienia lub wykorzystania tajemnicyprzedsiębiorstwa (wymóg spowodowania poważnej szkody),

� przepisów karnych zawartych w rozdziale 8 ustawy o ochroniedanych osobowych.

� Odpowiedzialność karna dotyczy osób fizycznych.

Mateusz Oskroba

radca prawnymateusz.oskroba@piszcz.pltel.: 61 859 44 44,43