ochrona danych osobowych w Wojewódzkim Funduszu
-
Upload
pawelsoczek -
Category
Documents
-
view
232 -
download
1
description
Transcript of ochrona danych osobowych w Wojewódzkim Funduszu
ochrona danych osobowychw Wojewódzkim Funduszu
Ochrony Środowiskai Gospodarki Wodnej w Krakowie
Polityka bezpieczeństwa i
Instrukcja zarządzania systemem informatycznym
Prezentacja: Paweł Soczek
koordynator zespołu organizacyjnego
2 z 20
tajemnica• dane osobowe• Tajemnica zamówień publicznych• tajemnica państwowa i służbowa• tajemnica skarbowa• tajemnica geologiczna i geodezyjna• tajemnica statystyczna• tajemnica ubezpieczeń społecznych• tajemnica przedsiębiorstwa• tajemnica bankowa• tajemnica ksiąg rachunkowych• tajemnica lekarska• dobra autorskie• ochrona życia prywatnego, rodzinnego• tajemnica akt stanu cywilnego• tajemnica korespondencji i telekomunikacyjna• tajemnica radcowska , adwokacka, notarialna • tajemnica biegłego rewidenta• dobra osobiste osoby fizycznej i osoby prawnej
2012-12-06Wojewódzki Fundusz Ochrony Środowiska i Gospodarki Wodnej w Krakowie
3 z 20
konwencja rady europy
Konwencja Nr 108 Rady Europysporządzona w Strasburgu dnia 28 stycznia 1981 r. o ochronie osób w
związku z automatycznym przetwarzaniem danych osobowych (Dz. U. z 2003 r. Nr
3, poz. 25)
oraz
Protokół dodatkowy do Konwencji o ochronie osób w związku z automatycznym przetwarzaniem danych osobowych
dotyczący organów nadzoru i transgranicznych przepływów danych
(Dz. U. z 2006 r. Nr 3, poz. 15)
celem konwencji jest zapewnienie każdej osobie fizycznej, bez względu na narodowość lub miejsce zamieszkania, poszanowania jej praw i podstawowych wolności na terytorium każdej ze stron
konwencji, a w szczególności jej prawa do prywatności w związku z automatycznym przetwarzaniem dotyczących jej danych osobowych
2012-12-06Wojewódzki Fundusz Ochrony Środowiska i Gospodarki Wodnej w Krakowie
4 z 20
dane osobowe
za dane osobowe uważa się wszelkie informacje
dotyczące zidentyfikowanej lub możliwej do zidentyfikowania
osoby fizycznej
osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio,
w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników
określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne
informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych
kosztów, czasu lub działań 2012-12-06Wojewódzki Fundusz Ochrony Środowiska i Gospodarki Wodnej w Krakowie
5 z 20
prawa osób
Każdej osobie przysługuje prawo do kontroli przetwarzania danych, które jej dotyczą, zawartych w zbiorach danych, a zwłaszcza prawo do:• uzyskania wyczerpującej informacji, czy taki zbiór istnieje, oraz do ustalenia
administratora danych, adresu jego siedziby i pełnej nazwy, a w przypadku gdy administratorem danych jest osoba fizyczna - jej miejsca zamieszkania oraz imienia i nazwiska
• uzyskania informacji o celu, zakresie i sposobie przetwarzania danych zawartych w takim zbiorze,
• uzyskania informacji, od kiedy przetwarza się w zbiorze dane jej dotyczące, oraz podania w powszechnie zrozumiałej formie treści tych danych
• uzyskania informacji o źródle, z którego pochodzą dane jej dotyczące, chyba że administrator danych jest zobowiązany do zachowania w tym zakresie tajemnicy państwowej, służbowej lub zawodowej
• uzyskania informacji o sposobie udostępniania danych, a w szczególności informacji o odbiorcach lub kategoriach odbiorców, którym dane te są udostępniane
• żądania uzupełnienia, uaktualnienia, sprostowania danych osobowych, czasowego lub stałego wstrzymania ich przetwarzania lub ich usunięcia, jeżeli są one niekompletne, nieaktualne, nieprawdziwe lub zostały zebrane z naruszeniem ustawy albo są już zbędne do realizacji celu, dla którego zostały zebrane
• wniesienia, w przypadkach gdy dane są przetwarzane z uwagi na niezbędne wykonania określonych prawem zadań realizowanych dla dobra publicznego, pisemnego, umotywowanego żądania zaprzestania przetwarzania jej danych ze względu na jej szczególną sytuację
• wniesienia sprzeciwu wobec przetwarzania jej danych gdy administrator danych zamierza je przetwarzać w celach marketingowych lub wobec przekazywania jej danych osobowych innemu administratorowi danych
Wojewódzki Fundusz Ochrony Środowiska i Gospodarki Wodnej w Krakowie
6 z 20
zakres podmiotowy ustawy
Zakres podmiotowyorganów państwowych, organów samorządu terytorialnego, państwowych i komunalnych jednostek organizacyjnych, podmiotów niepublicznych realizujących zadania publiczne, osób fizycznych i osób prawnych oraz jednostek organizacyjnych niebędących osobami prawnymi, jeżeli przetwarzają dane osobowe w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych - które mają siedzibę albo miejsce zamieszkania na terytorium Rzeczypospolitej Polskiej, albo w państwie trzecim, o ile przetwarzają dane osobowe przy wykorzystaniu środków technicznych znajdujących się na terytorium Rzeczypospolitej Polskiej.Ustawy nie stosuje się do: osób fizycznych, które przetwarzają dane wyłącznie w celach osobistych lub domowych, podmiotów mających siedzibę lub miejsce zamieszkania w państwie trzecim, wykorzystujących środki techniczne znajdujące się na terytorium Rzeczypospolitej Polskiej wyłącznie do przekazywania danych, (z wyjątkami) do prasowej działalności dziennikarskiej oraz działalności literackiej lub artystycznej, chyba że wolność wyrażania swoich poglądów i rozpowszechniania informacji istotnie narusza prawa i wolności osoby, której dane dotycząZakres przedmiotowy
zasady postępowania przy przetwarzaniu danych osobowych oraz prawa osób fizycznych, których dane osobowe są lub mogą być przetwarzane w zbiorach danych
ustawę stosuje się do przetwarzania danych osobowych: • w kartotekach, skorowidzach, księgach, wykazach i w innych zbiorach
ewidencyjnych• w systemach informatycznych, także w przypadku przetwarzania danych
poza zbiorem danychWojewódzki Fundusz Ochrony Środowiska i Gospodarki Wodnej w Krakowie
7 z 20
przetwarzania danych jest dopuszczalne
przetwarzania danych jest dopuszczalne tylko wtedy, gdy:• osoba, której dane dotyczą, wyrazi na to zgodę, chyba że
chodzi o usunięcie dotyczących jej danych• jest to niezbędne dla zrealizowania uprawnienia lub
spełnienia obowiązku wynikającego z przepisu prawa• jest to konieczne do realizacji umowy, gdy osoba, której dane
dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą
• jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego,
• jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą
Wojewódzki Fundusz Ochrony Środowiska i Gospodarki Wodnej w Krakowie
8 z 20
zbieranie danych osobowych od osoby
w przypadku zbierania danych osobowych od osoby, której one dotyczą, administrator danych jest obowiązany poinformować tę osobę o:
• adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna - o miejscu swojego zamieszkania oraz imieniu i nazwisku
• celu zbierania danych, a w szczególności o znanych mu w czasie udzielania informacji lub przewidywanych odbiorcach lub kategoriach odbiorców danych
• prawie dostępu do treści swoich danych oraz ich poprawiania• dobrowolności albo obowiązku podania danych, a jeżeli taki
obowiązek istnieje, o jego podstawie prawnej
Wojewódzki Fundusz Ochrony Środowiska i Gospodarki Wodnej w Krakowie
9 z 20
zabrania się przetwarzania danych
zabrania się przetwarzania danych ujawniających
• pochodzenie rasowe lub etniczne• poglądy polityczne, przekonania religijne lub filozoficzne,
przynależność wyznaniową, partyjną lub związkową• danych o stanie zdrowia, kodzie genetycznym, nałogach lub
życiu seksualnym• danych dotyczących skazań, orzeczeń o ukaraniu i mandatów
karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym
Wojewódzki Fundusz Ochrony Środowiska i Gospodarki Wodnej w Krakowie
10 z 20
przetwarzanie danych wrażliwych
przetwarzanie danych wrażliwych jest dopuszczalne, jeżeli:• osoba, której dane dotyczą, wyrazi na to zgodę na piśmie, • przepis szczególny innej ustawy zezwala na przetwarzanie
takich danych bez zgody osoby, której dane dotyczą• przetwarzanie takich danych jest niezbędne do ochrony
żywotnych interesów osoby, której dane dotyczą• przetwarzanie dotyczy danych, które są niezbędne do
dochodzenia praw przed sądem• przetwarzanie jest niezbędne do wykonania zadań
administratora danych odnoszących się do zatrudnienia pracowników i innych osób
• przetwarzanie dotyczy danych, które zostały podane do wiadomości publicznej przez osobę, której dane dotyczą
• przetwarzanie danych jest prowadzone przez stronę w celu realizacji praw i obowiązków wynikających z orzeczenia wydanego w postępowaniu sądowym lub administracyjnym
Wojewódzki Fundusz Ochrony Środowiska i Gospodarki Wodnej w Krakowie
11 z 20
zasady zabezpieczania danych osobowych
Zasady zabezpieczania danych osobowych:• zastosować środki techniczne i organizacyjne
zapewniające ochronę przetwarzanych danych osobowych
• prowadzić dokumentację opisującą sposób przetwarzania danych oraz środki ochrony
• wyznaczyć administratora bezpieczeństwa informacji, nadzorującego przestrzeganie zasad ochrony
• zapewnić kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane
Wojewódzki Fundusz Ochrony Środowiska i Gospodarki Wodnej w Krakowie
12 z 20
wymagania organizacyjne przetwarzania
do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych
Administrator danych prowadzi ewidencję osób upoważnionych do ich przetwarzania, która powinna zawierać:• imię i nazwisko osoby upoważnionej• datę nadania i ustania oraz zakres upoważnienia do
przetwarzania danych osobowych• identyfikator, jeżeli dane są przetwarzane w systemie
informatycznym
Wojewódzki Fundusz Ochrony Środowiska i Gospodarki Wodnej w Krakowie
13 z 20
rejestracja zbiorów
z obowiązku rejestracji zbioru danych zwolnieni są administratorzy danych (np.)
• przetwarzanych w związku z zatrudnieniem u nich, świadczeniem im usług na podstawie umów cywilnoprawnych
• dotyczących osób korzystających z ich usług medycznych, obsługi notarialnej, adwokackiej, radcy prawnego, rzecznika patentowego, doradcy podatkowego lub biegłego rewidenta
• przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej
• powszechnie dostępnych
• przetarzanych w zakresie drobnych bieżących spraw życia codziennego
Wojewódzki Fundusz Ochrony Środowiska i Gospodarki Wodnej w Krakowie
14 z 20
Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i
systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r. Nr 100, poz.1024)
określa:• sposób prowadzenia i zakres dokumentacji opisującej sposób przetwarzania
danych osobowych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną
• podstawowe warunki techniczne i organizacyjne, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych
• wymagania w zakresie odnotowywania udostępniania danych osobowych i bezpieczeństwa przetwarzania danych osobowych
Na dokumentację systemu ochrony danych osobowych składa się polityka bezpieczeństwa i instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych,• dokumentację prowadzi się w formie pisemnej• dokumentację wdraża administrator danych
dokumentacja systemu ochrony
Wojewódzki Fundusz Ochrony Środowiska i Gospodarki Wodnej w Krakowie
15 z 20
dokumentacja systemu ochrony
Polityka bezpieczeństwa, zawiera w szczególności:• wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym
przetwarzane są dane osobowe;• wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do
przetwarzania tych danych;• opis struktury zbiorów danych wskazujący zawartość poszczególnych pól i określenie
środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych.
Instrukcja zawiera w szczególności:• procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych
uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności;
• stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem;
• procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu;
• procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania;
• sposób, miejsce i okres przechowywania:- elektronicznych nośników informacji zawierających dane osobowe,- kopii zapasowych, - sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, o którym
mowa w pkt III ppkt 1 załącznika do rozporządzenia;- sposób realizacji wymogów, informacji o odbiorcach, którym dane osobowe zostały udostępnione,
dacie i zakresie tego udostępnienia, chyba że system informatyczny używany jest do przetwarzania danych zawartych w zbiorach jawnych;
- procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych.Wojewódzki Fundusz Ochrony Środowiska i Gospodarki Wodnej w
Krakowie
16 z 20
poziomy bezpieczeństwa
Uwzględniając kategorie przetwarzanych danych oraz zagrożenia wprowadza się poziomy bezpieczeństwa przetwarzania danych osobowych w systemie informatycznym:• podstawowy:• w systemie informatycznym nie są przetwarzane dane, oraz• żadne z urządzeń systemu informatycznego, służącego do
przetwarzania danych osobowych nie jest połączone z siecią publiczną.
• podwyższony:• w systemie informatycznym przetwarzane są dane osobowe, oraz• żadne z urządzeń systemu informatycznego, służącego do
przetwarzania danych osobowych nie jest połączone z siecią publiczną.
• wysoki: poziom wysoki stosuje się, gdy przynajmniej jedno urządzenie systemu informatycznego, służącego do przetwarzania danych osobowych, połączone jest z siecią publiczną.
Wojewódzki Fundusz Ochrony Środowiska i Gospodarki Wodnej w Krakowie
17 z 20
środki bezpieczeństwa• urządzenia i nośniki zawierające dane osobowe, przekazywane poza obszar chroniony,
zabezpiecza się w sposób zapewniający poufność i integralność tych danych
• w przypadku gdy do uwierzytelniania użytkowników używa się hasła, składa się ono co najmniej z 8 znaków, zawiera małe i wielkie litery oraz cyfry lub znaki specjalne, zmieniane co najmniej co 30 dni
• system informatyczny służący do przetwarzania danych osobowych chroni się przed zagrożeniami pochodzącymi z sieci publicznej poprzez wdrożenie fizycznych lub logicznych zabezpieczeń chroniących przed nieuprawnionym dostępem
• urządzenia, dyski lub inne elektroniczne nośniki informacji, zawierające dane osobowe, przeznaczone do:- likwidacji - pozbawia się wcześniej zapisu tych danych, a w przypadku gdy nie jest to możliwe, uszkadza się w sposób uniemożliwiający ich odczytanie
- przekazania podmiotowi nieuprawnionemu do przetwarzania danych - pozbawia się wcześniej zapisu tych danych, w sposób uniemożliwiający ich odzyskanie
- naprawy - pozbawia się wcześniej zapisu tych danych w sposób uniemożliwiający ich odzyskanie albo naprawia się je pod nadzorem osoby upoważnionej przez administratora danych
• w przypadku zastosowania logicznych zabezpieczeń, obejmują one:- kontrolę przepływu informacji pomiędzy systemem informatycznym administratora danych a siecią
publiczną- kontrolę działań inicjowanych z sieci publicznej i systemu informatycznego administratora danych
• Administrator danych stosuje środki kryptograficznej ochrony wobec danych wykorzystywanych do uwierzytelnienia, które są przesyłane w sieci publicznej
Wojewódzki Fundusz Ochrony Środowiska i Gospodarki Wodnej w Krakowie
18 z 20
dobra osoby prawnej
opinia prawna Kancelarii Radców Prawnych Marcin Hanczakowski & Sławomir Podgórski s.c.
udostępniona zostanie (wyciąg) w portalu intranetowym; najważniejsze ustalenia:
-osobie prawnej przysługuje prawo ochrony dóbr osobistych określanych jako wartości niemajątkowe, dzięki istnieniu których osoba prawna może prawidłowo, zgodnie ze swoim zakresem zadań funkcjonować; do dóbr osobistych piśmiennictwo zalicza sfery:
- identyfikacji (dobra osobiste: nazwa i firma)- swobodnego prowadzenia działalności (określają przepisy prawa)- tajemnicy (korespondencji, dokumentacji, planowania)- dobrej sławy (prestiż i renoma)
-udostępnianie materiałów roboczych, a w szczególności przeznaczonych do dyskusji projektów aktów wewnętrznych osób prawnych, stanowi naruszenie dóbr osobistych
2012-12-06Wojewódzki Fundusz Ochrony Środowiska i Gospodarki Wodnej w Krakowie
Paweł Soczekkoordynator zespołu organizacyjnego
ul. Kanonicza 12, 31-002 Krakówtel.: 600 700 450 • faks: 12 422 30 46e-mail: [email protected] • www.wfos.krakow.pl
Dziękuję za uwagę.