rodzaje danych (informacji) m.in. › uploads › aktualnosci › prezentacje... · 2015-07-24 ·...
TRANSCRIPT
Rodzaje danych (informacji) m.in.:
Podmioty przetwarzające dane:� podmioty publiczne,� podmioty prywatne.
Przetwarzane dane mogą być zebranew zbiorach (bazach) danych.
Dane finansowe
Dane handlowe
Dane technologiczneDane osobowe
Nakładające obowiązki na przetwarzającego dane:� ustawa o informatyzacji działalności podmiotów realizujących
zadania publiczne i w szczególności rozporządzenie o KrajowychRamach Interoperacyjności,
� ustawa o ochronie informacji niejawnych i akty wykonawcze,� ustawa o ochronie danych osobowych i akty wykonawcze.
Przeciwdziałające nieuprawnionym czynnościom w stosunku dodanych:� kodeks karny (przestępstwa przeciwko ochronie informacji),� ustawa o zwalczaniu nieuczciwej konkurencji – ochrona tajemnicy
przedsiębiorstwa,� Kodeks cywilny.
� Ustawę oraz Krajowe Ramy Interoperacyjności stosuje się dorealizujących zadania publiczne m.in.:� organów administracji rządowej,� organów ochrony prawa i sądów,� jednostek samorządu terytorialnego;- podmioty publiczne.
� Minimalne wymagania dla systemów teleinformatycznych oraz wymógspełnienia interoperacyjności systemów zgodnie z Krajowymi RamamiInteroperacyjności.
� Rejestry publiczne prowadzone przy użyciu systemówteleinformatycznych.
� Udostępnianie danych za pomocą środków komunikacji elektronicznej.
� Informacje niejawne – informacje, których nieuprawnione ujawnienie
spowodowałoby lub mogłoby spowodować szkody dlaRzeczypospolitej Polskiej albo byłoby z punktu widzenia jej
interesów niekorzystne, także w trakcie ich opracowywania orazniezależnie od formy i sposobu ich wyrażania.
� Klasyfikowanie informacji niejawnych:
Zastrzeżone Poufne Tajne Ściśle tajne
� Kierownik jednostki organizacyjnej odpowiada za ochronę informacjiniejawnych.
� Wymóg odbycia szkolenia w zakresie informacji niejawnych oraz (niedotyczy to informacji o klauzuli zastrzeżone) uzyskania
poświadczenia bezpieczeństwa.
� Warunkiem dostępu przedsiębiorcy do informacji niejawnych w związkuz wykonywaniem umów albo zadań wynikających z przepisów prawajest legitymowanie się świadectwem bezpieczeństwa
przemysłowego wydawanym przez ABW lub SKW – nie dotyczy toinformacji o klauzuli zastrzeżone oraz jednoosobowychprzedsiębiorców.
� Przez tajemnicę przedsiębiorstwa rozumie się:� nieujawnione do wiadomości publicznej informacje techniczne,
technologiczne, organizacyjne przedsiębiorstwa lub inneinformacje posiadające wartość gospodarczą, co do których
przedsiębiorca podjął niezbędne działania w celu zachowania
ich poufności.
� Czynem nieuczciwej konkurencji jest przekazanie, ujawnienie lubwykorzystanie cudzych informacji stanowiących tajemnicę
przedsiębiorstwa albo ich nabycie od osoby nieuprawnionej, jeżelizagraża lub narusza interes przedsiębiorcy.
� Ustawa wiąże co do zasady wszystkie podmioty przetwarzające daneosobowe. Przykładowy wyjątek: osoby fizyczne, które przetwarzajądane wyłącznie w celach osobistych lub domowych.
� Za dane osobowe uważa się wszelkie informacje dotyczące
zidentyfikowanej lub możliwej do zidentyfikowania osoby
fizycznej. Istotna jest możliwość określenia tożsamości danej osoby.
� Administrator danych – osoba decydująca o celach i środkachprzetwarzania danych.
� Przetwarzanie danych osobowych jest dopuszczalne tylko napodstawie określonych przesłanek.
� Zgoda osoby, której dane dotyczą.
� Niezbędność do wykonania uprawnienia lub obowiązku wynikającego
z przepisu prawa.
� Konieczność realizacji umowy, gdy osoba, której dane dotyczą, jestjej stroną lub gdy jest to niezbędne do podjęcia działań przedzawarciem umowy na żądanie osoby, której dane dotyczą.
� Niezbędność do wykonania określonych prawem zadań
realizowanych dla dobra publicznego.
� Niezbędność dla wypełnienia prawnie usprawiedliwionych celów
realizowanych przez administratorów danych albo odbiorców danych, aprzetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.
� Co do zasady zabrania się przetwarzania danych wrażliwych.
� Obowiązek informacyjny jest różny – w zależności od tego czy daneosobowe uzyskiwane są od osoby, której one dotyczą, czy też z innychźródeł.
� Obowiązek informacyjny należy co do zasady zawsze zrealizować:� w trakcie zbierania danych - w przypadku, gdy dane pochodzą od
osoby, której dane dotyczą albo� bezpośrednio po utrwaleniu zebranych danych – w przypadku, gdy
dane zostały zebrane z innych źródeł.
� Administrator danych jest obowiązany zapewnić, aby przetwarzaneprzez niego dane były adekwatne do celów, w jakich są przetwarzane.
� Administrator danych może powierzyć innemu podmiotowi(Przetwarzający), w drodze umowy zawartej na piśmie, przetwarzaniedanych.
� Przetwarzający może przetwarzać dane wyłącznie w zakresie i celu
przewidzianym w umowie z administratorem danych.
� Przetwarzającego wiążą przepisy ustawy o ochronie danychosobowych w zakresie zabezpieczenia zbioru danych.
� Administrator danych jest obowiązany zastosować środki techniczne iorganizacyjne zapewniające ochronę przetwarzanych danychosobowych odpowiednią do zagrożeń oraz kategorii danych objętychochroną.
Administrator danych
udziela upoważnień
prowadzi ewidencję osób upoważnionych
prowadzi dokumentację (sposób przetwarzania
danych oraz środki techniczne i organizacyjne)
polityka bezpieczeństwa
instrukcja zarządzania systemem informatycznym
zabezpiecza dane osobowe
inne dokumenty, regulaminy
Rozporządzenie o środkach technicznych i organizacyjnych
polityka bezpieczeństwa: w tym kwestia struktury zbiorów danych
(zawartości pól i powiązań między nimi)
instrukcja zarządzania systemem informatycznym
zawierająca m.in.System informatyczny
data pierwszego wprowadzenia danych
identyfikator użytkownika wprowadzającego dane
osobowe
metody i środki uwierzytelnienia oraz
procedury zarządzania i użytkowania
procedury tworzenia kopii zapasowych zbiorów
danych oraz programów i narzędzi programowych
sposób zabezpieczenia systemu informatycznego przed nieautoryzowanym
dostępem
Rozporządzenie o środkach technicznych i organizacyjnych zobowiązuje
również administratora danych, aby:
� zabezpieczył obszar przetwarzania danych przed dostępem osóbnieuprawnionych na czas nieobecności w nim osób upoważnionych doprzetwarzania danych osobowych
� w systemie informatycznym służącym do przetwarzania danych osobowychstosował mechanizmy kontroli dostępu do tych danych – dla każdegoużytkownika indywidualny identyfikator oraz hasło składające się z 8
znaków zawierających małe i wielkie litery oraz cyfry lub znaki specjalne –hasło należy zmieniać nie rzadziej niż co 30 dni
� wykonywał kopie zapasowe zbiorów danych
� zabezpieczał kopie zapasowe przed ich nieuprawnionym przejęciem
� stosował środki kryptograficznej ochrony wobec danych wykorzystywanychdo uwierzytelnienia, które są przesyłane w sieci publicznej
� ABI może być powołany, ale nie musi.
� Kompetencje ABI są określone ustawowo.
� ABI ma pełnić funkcję samodzielnego podmiotu nadzorującegoprawidłowe przetwarzanie danych u administratora danych.
� Obowiązany jest m.in. do sprawdzania zgodności przetwarzaniadanych osobowych z przepisami o ochronie danych osobowych orazopracowania w tym zakresie sprawozdania dla administratora danych –szczegóły w rozporządzeniu wykonawczym.
� Powołanie i zgłoszenie ABI do GIODO przez administratora danychumożliwia niezgłaszanie zbiorów danych osobowych do rejestruzbiorów danych osobowych GIODO – nie dotyczy to zbiorów danychwrażliwych.
� ABI obowiązany jest prowadzić jawny rejestr zbiorów danychistniejących u administratora danych.
� Obowiązek rejestracji zbiorów danych osobowych u GIODO jakozasada.
� Przykładowe wyłączenia od obowiązku rejestracji:� zbiór danych przetwarzanych w związku z zatrudnieniem u
administratora danych, świadczeniem administratorowi danychusług na podstawie umów cywilnoprawnych,
� zbiór danych dotyczących osób zrzeszonych lub uczących się u
administratora danych,� zbiór danych zawierających informacje niejawne.
� Rejestracja zbiorów danych może nastąpić w ramach platformy e-GIODO. Tam też znajduje się interaktywny formularz, który możnawypełnić.
� Przekazywanie danych do podmiotu spoza Europejskiego ObszaruGospodarczego (EOG) a nawet oddziału, czy jednostki przedsiębiorcyposiadającego siedzibę na terenie EOG, która to jednostka znajduje siępoza EOG, wymaga spełnienia dodatkowych przesłanek.
� Administrator danych może przekazać dane osobowe do państwatrzeciego, m.in. jeżeli:� osoba, której dane dotyczą, udzieliła na to zgody na piśmie,� przekazanie jest niezbędne do wykonania umowy pomiędzy
administratorem danych a osobą, której dane dotyczą,� dane są ogólnie dostępne.
� Jeżeli na podstawie ustawy lub aktu prawa europejskiego (m.in.decyzje Komisji w sprawie odpowiedniej ochrony danych osobowych)nie ma podstaw do przekazania danych, należy uzyskać zgodę GIODOna przekazanie danych lub uzyskać zatwierdzenie wiążących reguł
korporacyjnych.
� Odpowiedzialność cywilną może ponosić zarówno sam administratordanych, jak i osoba, która wykorzystując dane przetwarzane przezadministratora danych wyrządziła szkodę.
� Odpowiedzialność administratora danych względem osoby, której danedotyczą opiera się na ochronie dóbr osobistych człowieka.� W związku z naruszeniem dóbr osobistych osobie, której dane
dotyczą przysługuje m.in. prawo do dochodzeniazadośćuczynienia pieniężnego za doznaną krzywdę.
� Odpowiedzialność osoby, która przekazuje, ujawnia, wykorzystujetajemnicę przedsiębiorstwa administratora danych.� Istnienie obowiązku wydania bezpodstawnie uzyskanych korzyści,� Naprawienie szkody spowodowanej czynem nieuczciwej
konkurencji, w tym poniesionych strat oraz utraconych korzyści.
� Naruszenie ustawy o ochronie danych osobowych skutkujewszczęciem postępowania administracyjnego przez GIODO orazwydaniem przez ten organ decyzji administracyjnej nakazującejprzywrócenie stanu zgodnego z prawem.
� Decyzja jest wydana w stosunku do administratora danych, gdyż tenpodmiot przetwarza dane osobowe – decyduje o celach i środkachprzetwarzania danych.
� Decyzja administracyjna nie jest karą finansową.
� Dopiero w przypadku niewykonania decyzji administracyjnej przezadministratora danych, GIODO jest uprawniony do nałożenia naadministratora danych grzywny w celu przymuszenia.
� Odpowiedzialność karna za naruszenie przepisów o szeroko pojętymbezpieczeństwie danych wynika m.in. z:� rozdziału XXXIII ustawy Kodeks karny – przestępstwa przeciwko
ochronie informacji,� art. 23 ustawy o zwalczaniu nieuczciwej konkurencji –
przestępstwo ujawnienia lub wykorzystania tajemnicyprzedsiębiorstwa (wymóg spowodowania poważnej szkody),
� przepisów karnych zawartych w rozdziale 8 ustawy o ochroniedanych osobowych.
� Odpowiedzialność karna dotyczy osób fizycznych.
Mateusz Oskroba
radca [email protected].: 61 859 44 44,43