ochrona danych osobowych w Wojewódzkim Funduszu

ochrona danych osobowychw Wojewódzkim Funduszu

Ochrony Środowiskai Gospodarki Wodnej w Krakowie

Polityka bezpieczeństwa i

Instrukcja zarządzania systemem informatycznym

Prezentacja: Paweł Soczek

koordynator zespołu organizacyjnego

2 z 20

tajemnica• dane osobowe• Tajemnica zamówień publicznych• tajemnica państwowa i służbowa• tajemnica skarbowa• tajemnica geologiczna i geodezyjna• tajemnica statystyczna• tajemnica ubezpieczeń społecznych• tajemnica przedsiębiorstwa• tajemnica bankowa• tajemnica ksiąg rachunkowych• tajemnica lekarska• dobra autorskie• ochrona życia prywatnego, rodzinnego• tajemnica akt stanu cywilnego• tajemnica korespondencji i telekomunikacyjna• tajemnica radcowska , adwokacka, notarialna • tajemnica biegłego rewidenta• dobra osobiste osoby fizycznej i osoby prawnej

2012-12-06Wojewódzki Fundusz Ochrony Środowiska i Gospodarki Wodnej w Krakowie

3 z 20

konwencja rady europy

Konwencja Nr 108 Rady Europysporządzona w Strasburgu dnia 28 stycznia 1981 r. o ochronie osób w

związku z automatycznym przetwarzaniem danych osobowych (Dz. U. z 2003 r. Nr

3, poz. 25)

oraz

Protokół dodatkowy do Konwencji o ochronie osób w związku z automatycznym przetwarzaniem danych osobowych

dotyczący organów nadzoru i transgranicznych przepływów danych

(Dz. U. z 2006 r. Nr 3, poz. 15)

celem konwencji jest zapewnienie każdej osobie fizycznej, bez względu na narodowość lub miejsce zamieszkania, poszanowania jej praw i podstawowych wolności na terytorium każdej ze stron

konwencji, a w szczególności jej prawa do prywatności w związku z automatycznym przetwarzaniem dotyczących jej danych osobowych


4 z 20

dane osobowe

za dane osobowe uważa się wszelkie informacje

dotyczące zidentyfikowanej lub możliwej do zidentyfikowania

osoby fizycznej

osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio,

w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników

określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne

informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych

kosztów, czasu lub działań 2012-12-06Wojewódzki Fundusz Ochrony Środowiska i Gospodarki Wodnej w Krakowie

5 z 20

prawa osób

Każdej osobie przysługuje prawo do kontroli przetwarzania danych, które jej dotyczą, zawartych w zbiorach danych, a zwłaszcza prawo do:• uzyskania wyczerpującej informacji, czy taki zbiór istnieje, oraz do ustalenia

administratora danych, adresu jego siedziby i pełnej nazwy, a w przypadku gdy administratorem danych jest osoba fizyczna - jej miejsca zamieszkania oraz imienia i nazwiska

• uzyskania informacji o celu, zakresie i sposobie przetwarzania danych zawartych w takim zbiorze,

• uzyskania informacji, od kiedy przetwarza się w zbiorze dane jej dotyczące, oraz podania w powszechnie zrozumiałej formie treści tych danych

• uzyskania informacji o źródle, z którego pochodzą dane jej dotyczące, chyba że administrator danych jest zobowiązany do zachowania w tym zakresie tajemnicy państwowej, służbowej lub zawodowej

• uzyskania informacji o sposobie udostępniania danych, a w szczególności informacji o odbiorcach lub kategoriach odbiorców, którym dane te są udostępniane

• żądania uzupełnienia, uaktualnienia, sprostowania danych osobowych, czasowego lub stałego wstrzymania ich przetwarzania lub ich usunięcia, jeżeli są one niekompletne, nieaktualne, nieprawdziwe lub zostały zebrane z naruszeniem ustawy albo są już zbędne do realizacji celu, dla którego zostały zebrane

• wniesienia, w przypadkach gdy dane są przetwarzane z uwagi na niezbędne wykonania określonych prawem zadań realizowanych dla dobra publicznego, pisemnego, umotywowanego żądania zaprzestania przetwarzania jej danych ze względu na jej szczególną sytuację

• wniesienia sprzeciwu wobec przetwarzania jej danych gdy administrator danych zamierza je przetwarzać w celach marketingowych lub wobec przekazywania jej danych osobowych innemu administratorowi danych

Wojewódzki Fundusz Ochrony Środowiska i Gospodarki Wodnej w Krakowie

6 z 20

zakres podmiotowy ustawy

Zakres podmiotowyorganów państwowych, organów samorządu terytorialnego, państwowych i komunalnych jednostek organizacyjnych, podmiotów niepublicznych realizujących zadania publiczne, osób fizycznych i osób prawnych oraz jednostek organizacyjnych niebędących osobami prawnymi, jeżeli przetwarzają dane osobowe w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych - które mają siedzibę albo miejsce zamieszkania na terytorium Rzeczypospolitej Polskiej, albo w państwie trzecim, o ile przetwarzają dane osobowe przy wykorzystaniu środków technicznych znajdujących się na terytorium Rzeczypospolitej Polskiej.Ustawy nie stosuje się do: osób fizycznych, które przetwarzają dane wyłącznie w celach osobistych lub domowych, podmiotów mających siedzibę lub miejsce zamieszkania w państwie trzecim, wykorzystujących środki techniczne znajdujące się na terytorium Rzeczypospolitej Polskiej wyłącznie do przekazywania danych, (z wyjątkami) do prasowej działalności dziennikarskiej oraz działalności literackiej lub artystycznej, chyba że wolność wyrażania swoich poglądów i rozpowszechniania informacji istotnie narusza prawa i wolności osoby, której dane dotycząZakres przedmiotowy

zasady postępowania przy przetwarzaniu danych osobowych oraz prawa osób fizycznych, których dane osobowe są lub mogą być przetwarzane w zbiorach danych

ustawę stosuje się do przetwarzania danych osobowych: • w kartotekach, skorowidzach, księgach, wykazach i w innych zbiorach

ewidencyjnych• w systemach informatycznych, także w przypadku przetwarzania danych

poza zbiorem danychWojewódzki Fundusz Ochrony Środowiska i Gospodarki Wodnej w Krakowie

7 z 20

przetwarzania danych jest dopuszczalne

przetwarzania danych jest dopuszczalne tylko wtedy, gdy:• osoba, której dane dotyczą, wyrazi na to zgodę, chyba że

chodzi o usunięcie dotyczących jej danych• jest to niezbędne dla zrealizowania uprawnienia lub

spełnienia obowiązku wynikającego z przepisu prawa• jest to konieczne do realizacji umowy, gdy osoba, której dane

dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą

• jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego,

• jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą


8 z 20

zbieranie danych osobowych od osoby

w przypadku zbierania danych osobowych od osoby, której one dotyczą, administrator danych jest obowiązany poinformować tę osobę o:

• adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna - o miejscu swojego zamieszkania oraz imieniu i nazwisku

• celu zbierania danych, a w szczególności o znanych mu w czasie udzielania informacji lub przewidywanych odbiorcach lub kategoriach odbiorców danych

• prawie dostępu do treści swoich danych oraz ich poprawiania• dobrowolności albo obowiązku podania danych, a jeżeli taki

obowiązek istnieje, o jego podstawie prawnej


9 z 20

zabrania się przetwarzania danych

zabrania się przetwarzania danych ujawniających

• pochodzenie rasowe lub etniczne• poglądy polityczne, przekonania religijne lub filozoficzne,

przynależność wyznaniową, partyjną lub związkową• danych o stanie zdrowia, kodzie genetycznym, nałogach lub

życiu seksualnym• danych dotyczących skazań, orzeczeń o ukaraniu i mandatów

karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym


10 z 20

przetwarzanie danych wrażliwych

przetwarzanie danych wrażliwych jest dopuszczalne, jeżeli:• osoba, której dane dotyczą, wyrazi na to zgodę na piśmie, • przepis szczególny innej ustawy zezwala na przetwarzanie

takich danych bez zgody osoby, której dane dotyczą• przetwarzanie takich danych jest niezbędne do ochrony

żywotnych interesów osoby, której dane dotyczą• przetwarzanie dotyczy danych, które są niezbędne do

dochodzenia praw przed sądem• przetwarzanie jest niezbędne do wykonania zadań

administratora danych odnoszących się do zatrudnienia pracowników i innych osób

• przetwarzanie dotyczy danych, które zostały podane do wiadomości publicznej przez osobę, której dane dotyczą

• przetwarzanie danych jest prowadzone przez stronę w celu realizacji praw i obowiązków wynikających z orzeczenia wydanego w postępowaniu sądowym lub administracyjnym


11 z 20

zasady zabezpieczania danych osobowych

Zasady zabezpieczania danych osobowych:• zastosować środki techniczne i organizacyjne

zapewniające ochronę przetwarzanych danych osobowych

• prowadzić dokumentację opisującą sposób przetwarzania danych oraz środki ochrony

• wyznaczyć administratora bezpieczeństwa informacji, nadzorującego przestrzeganie zasad ochrony

• zapewnić kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane


12 z 20

wymagania organizacyjne przetwarzania

do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych

Administrator danych prowadzi ewidencję osób upoważnionych do ich przetwarzania, która powinna zawierać:• imię i nazwisko osoby upoważnionej• datę nadania i ustania oraz zakres upoważnienia do

przetwarzania danych osobowych• identyfikator, jeżeli dane są przetwarzane w systemie

informatycznym


13 z 20

rejestracja zbiorów

z obowiązku rejestracji zbioru danych zwolnieni są administratorzy danych (np.)

• przetwarzanych w związku z zatrudnieniem u nich, świadczeniem im usług na podstawie umów cywilnoprawnych

• dotyczących osób korzystających z ich usług medycznych, obsługi notarialnej, adwokackiej, radcy prawnego, rzecznika patentowego, doradcy podatkowego lub biegłego rewidenta

• przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej

• powszechnie dostępnych

• przetarzanych w zakresie drobnych bieżących spraw życia codziennego


14 z 20

Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i

systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r. Nr 100, poz.1024)

określa:• sposób prowadzenia i zakres dokumentacji opisującej sposób przetwarzania

danych osobowych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną

• podstawowe warunki techniczne i organizacyjne, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych

• wymagania w zakresie odnotowywania udostępniania danych osobowych i bezpieczeństwa przetwarzania danych osobowych

Na dokumentację systemu ochrony danych osobowych składa się polityka bezpieczeństwa i instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych,• dokumentację prowadzi się w formie pisemnej• dokumentację wdraża administrator danych

dokumentacja systemu ochrony


15 z 20

dokumentacja systemu ochrony

Polityka bezpieczeństwa, zawiera w szczególności:• wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym

przetwarzane są dane osobowe;• wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do

przetwarzania tych danych;• opis struktury zbiorów danych wskazujący zawartość poszczególnych pól i określenie

środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych.

Instrukcja zawiera w szczególności:• procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych

uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności;

• stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem;

• procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu;

• procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania;

• sposób, miejsce i okres przechowywania:- elektronicznych nośników informacji zawierających dane osobowe,- kopii zapasowych, - sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, o którym

mowa w pkt III ppkt 1 załącznika do rozporządzenia;- sposób realizacji wymogów, informacji o odbiorcach, którym dane osobowe zostały udostępnione,

dacie i zakresie tego udostępnienia, chyba że system informatyczny używany jest do przetwarzania danych zawartych w zbiorach jawnych;

- procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych.Wojewódzki Fundusz Ochrony Środowiska i Gospodarki Wodnej w

Krakowie

16 z 20

poziomy bezpieczeństwa

Uwzględniając kategorie przetwarzanych danych oraz zagrożenia wprowadza się poziomy bezpieczeństwa przetwarzania danych osobowych w systemie informatycznym:• podstawowy:• w systemie informatycznym nie są przetwarzane dane, oraz• żadne z urządzeń systemu informatycznego, służącego do

przetwarzania danych osobowych nie jest połączone z siecią publiczną.

• podwyższony:• w systemie informatycznym przetwarzane są dane osobowe, oraz• żadne z urządzeń systemu informatycznego, służącego do

przetwarzania danych osobowych nie jest połączone z siecią publiczną.

• wysoki: poziom wysoki stosuje się, gdy przynajmniej jedno urządzenie systemu informatycznego, służącego do przetwarzania danych osobowych, połączone jest z siecią publiczną.


17 z 20

środki bezpieczeństwa• urządzenia i nośniki zawierające dane osobowe, przekazywane poza obszar chroniony,

zabezpiecza się w sposób zapewniający poufność i integralność tych danych

• w przypadku gdy do uwierzytelniania użytkowników używa się hasła, składa się ono co najmniej z 8 znaków, zawiera małe i wielkie litery oraz cyfry lub znaki specjalne, zmieniane co najmniej co 30 dni

• system informatyczny służący do przetwarzania danych osobowych chroni się przed zagrożeniami pochodzącymi z sieci publicznej poprzez wdrożenie fizycznych lub logicznych zabezpieczeń chroniących przed nieuprawnionym dostępem

• urządzenia, dyski lub inne elektroniczne nośniki informacji, zawierające dane osobowe, przeznaczone do:- likwidacji - pozbawia się wcześniej zapisu tych danych, a w przypadku gdy nie jest to możliwe, uszkadza się w sposób uniemożliwiający ich odczytanie

- przekazania podmiotowi nieuprawnionemu do przetwarzania danych - pozbawia się wcześniej zapisu tych danych, w sposób uniemożliwiający ich odzyskanie

- naprawy - pozbawia się wcześniej zapisu tych danych w sposób uniemożliwiający ich odzyskanie albo naprawia się je pod nadzorem osoby upoważnionej przez administratora danych

• w przypadku zastosowania logicznych zabezpieczeń, obejmują one:- kontrolę przepływu informacji pomiędzy systemem informatycznym administratora danych a siecią

publiczną- kontrolę działań inicjowanych z sieci publicznej i systemu informatycznego administratora danych

• Administrator danych stosuje środki kryptograficznej ochrony wobec danych wykorzystywanych do uwierzytelnienia, które są przesyłane w sieci publicznej


18 z 20

dobra osoby prawnej

opinia prawna Kancelarii Radców Prawnych Marcin Hanczakowski & Sławomir Podgórski s.c.

udostępniona zostanie (wyciąg) w portalu intranetowym; najważniejsze ustalenia:

-osobie prawnej przysługuje prawo ochrony dóbr osobistych określanych jako wartości niemajątkowe, dzięki istnieniu których osoba prawna może prawidłowo, zgodnie ze swoim zakresem zadań funkcjonować; do dóbr osobistych piśmiennictwo zalicza sfery:

- identyfikacji (dobra osobiste: nazwa i firma)- swobodnego prowadzenia działalności (określają przepisy prawa)- tajemnicy (korespondencji, dokumentacji, planowania)- dobrej sławy (prestiż i renoma)

-udostępnianie materiałów roboczych, a w szczególności przeznaczonych do dyskusji projektów aktów wewnętrznych osób prawnych, stanowi naruszenie dóbr osobistych


Paweł Soczekkoordynator zespołu organizacyjnego

ul. Kanonicza 12, 31-002 Krakówtel.: 600 700 450 • faks: 12 422 30 46e-mail: [email protected] • www.wfos.krakow.pl

Dziękuję za uwagę.

ochrona danych osobowych w Wojewódzkim Funduszu

Documents

Transcript of ochrona danych osobowych w Wojewódzkim Funduszu