PRZETWARZANIE DANYCH OSOBOWYCH Z PUBLICZNYCH I … file Niniejsza prezentacja stanowi uzupełnienie...

Generalny Inspektor

Ochrony Danych Osobowych

ul. Stawki 2, 00-193 Warszawa

www.giodo.gov.pl

[email protected]

PRZETWARZANIE DANYCH OSOBOWYCH Z PUBLICZNYCH

I PRYWATNYCH ZASOBÓW INFORMACYJNYCH

NA POTRZEBY ZARZĄDZANIA KRYZYSOWEGO

KONWERSATORIUM „DOSTĘP – WYMIANA – INTEGRACJA. WYKORZYSTANIE

RÓŻNYCH ŹRÓDEŁ INFORMACJI NA POTRZEBY ZARZĄDZANIA KRYZYSOWEGO"

Dr WOJCIECH WIEWIÓROWSKI

Generalny Inspektor Ochrony Danych Osobowych / WPiA Uniwersytet Gdański

5 Żywiołów

Warszawa, 14 kwietnia 2014 r.

www.giodo.gov.pl

Niniejsza prezentacja stanowi uzupełnienie wystąpienia podczas konwersatorium

pt. „Dostęp – Wymiana – Integracja. Wykorzystanie różnych źródeł informacji

na potrzeby zarządzania kryzysowego" zorganizowanego przez Instytut

MikroMakro i Collegium Civitas w Warszawie 14 kwietnia 2014 r.

Prezentację można kopiować i wykorzystywać w całości lub w części tylko pod warunkiem podania pełnej informacji o utworze

w poniższym brzmieniu:

W.R.Wiewiórowski, „Przetwarzanie danych osobowych z publicznych i prywatnych zasobów informacyjnych na potrzeby zarządzania kryzysowego”,

GIODO / WPiA Uniwersytet Gdański 2014 (wersja z 11 kwietnia 2014 r.)

© W.R.Wiewiórowski

Nota

5 Żywiołów


www.giodo.gov.pl© M. Narojek dla Biura GIODO 20115 Żywiołów


www.giodo.gov.pl

1. Jakie zasoby informacyjne ?

2. Dlaczego powinno być dozwolone to, co zazwyczaj jest

niedopuszczalne ?

3. Kto korzysta z danych w sytuacji kryzysowej ?

4. Jak przeprowadzić inwentaryzację post factum ?

5. Jak ćwiczyć ?

PROBLEMATYKA

5 Żywiołów


www.giodo.gov.pl

1. Nikt nie może być obowiązany inaczej niż na podstawie ustawy do ujawniania informacji dotyczących jego osoby.

2. Władze publiczne nie mogą pozyskiwać, gromadzić i udostępniać innych informacji o obywatelach niż niezbędne w demokratycznym państwie prawnym.

3. Każdy ma prawo dostępu do dotyczących go urzędowych dokumentów i zbiorów danych. Ograniczenie tego prawa może określić ustawa.

4. Każdy ma prawo do żądania sprostowania oraz usunięcia informacji nieprawdziwych, niepełnych lub zebranych w sposób sprzeczny z ustawą.

5. Zasady i tryb gromadzenia oraz udostępniania informacji określa ustawa.

KONSTYTUCJA RZECZYPOSPOLITEJ POLSKIEJ

(art. 51)

5 Żywiołów


www.giodo.gov.pl5 Żywiołów


• Konwencja 108 Rady Europy

• Dyrektywa 95/46/WE

• Dyrektywa 2002/58/WE

• Decyzja ramowa 2008/977/WSiSW

• Traktat o funkcjonowaniu Unii Europejskiej (Art. 16)

RAMY PRAWNE OCHRONY DANYCH

OSOBOWYCH W EUROPIE

www.giodo.gov.pl

33 Międzynarodowa Konferencja Rzeczników Ochrony Danych

i Prywatności – Meksyk, 1 listopada 2011 r.

Rezolucja w sprawie ochrony danych i poważnych katastrof

naturalnych

ZASADY OCHRONY PRYWATNOŚCI

W ZARZĄDZANIU KRYZYSOWYM

5 Żywiołów


www.giodo.gov.pl

Organy ochrony danych oraz organy ds. egzekwowania przepisów w zakresie

ochrony prywatności powinny:

Zweryfikować, czy ich krajowe przepisy w zakresie ochrony danych i prywatności

są odpowiednio sformułowane oraz na tyle elastyczne, aby najlepiej służyć

żywotnym interesom osób fizycznych w przypadku poważnej katastrofy

naturalnej oraz, jeżeli jest to nakazane, do zalecenia reformy.

Poddawać okresowym kontrolom własnego przygotowania oraz do rozważenia,

czy muszą podjąć dalsze kroki administracyjne, aby być w stanie jak najlepiej

służyć swoim społecznościom przed lub po poważnej katastrofie naturalnej.

Zapewnić zawczasu swoim społecznościom wytyczne na temat działania prawa

dotyczącego ochrony prywatności w przypadku katastrof naturalnych, w tym

w szczególności aspektów, które będą pomocne przy zapewnieniu skutecznych

reakcji ogółu;



5 Żywiołów


www.giodo.gov.pl

Rządy powinny uwzględnić w planowaniu obrony cywilnej kwestie dotyczące

przetwarzania danych osobowych i ochrony danych, w tym:

Zapewnić, że organy publiczne będą świadome przepisów w zakresie ochrony

danych i prywatności, co ułatwi szybką i bezpieczną wymianę danych

osobowych niezbędną w interwencjach kryzysowych.

Posiadać i zapewnić służbom publicznym plany skutecznej interwencji i ochrony

danych, które będą istotne w pierwszych reakcjach na katastrofę.

Sprostać potrzebom rodzin chcących się dowiedzieć o losach zaginionych

krewnych.

Zapewnić, że wszelkie szczególne środki, które mogą ograniczyć normalne

działanie prawa z zakresu ochrony danych, będą odpowiednio uzasadnione,

adekwatne do danej sytuacji kryzysowej, będą zawierały odpowiednie

zabezpieczenia i będą trwały tylko tak długo, jak długo będzie to niezbędne w

związku z katastrofą.

Szanować prywatność i godność ofiar katastrofy, ocalałych i ich rodzin.



5 Żywiołów


www.giodo.gov.pl

Rezolucja wzywa organy ochrony prywatności do zweryfikowania, czy ich przepisy/ustawy, na

mocy których działają, są odpowiednie do warunków, które mogą powstać w wyniku

poważnej katastrofy naturalnej. Na przykład w wyniku przeglądów dokonanych po wybuchu

bomb na Bali oraz po uderzeniu tsunami na Oceanie Indyjskim Australia zawarła specjalny

przepis w swojej ustawie o ochronie prywatności dotyczący ogłoszenia stanu wyjątkowego

w celu zapewnienia istnienia wystarczającego marginesu swobody w ujawnianiu informacji

do celów związanych z katastrofą. Po dokonaniu przez Parlament przeglądu prawa o

ochronie prywatności w sektorze prywatnym, uwzględniającego kwestię katastrof

naturalnych Kanada zamierza znowelizować prawo/ustawę w celu zapewnienia większego

marginesu swobody w zakresie ujawniania danych w celu identyfikacji osób

poszkodowanych lub zmarłych oraz informowania najbliższej rodziny.

Niniejsza rezolucja zachęca także organy do przeglądu swoich przygotowań, czego częścią

może być dawanie wytycznych organizacjom podlegającym ustawie. Organ, który

proaktywnie się tym zajmował, Rzecznik Ochrony Prywatności Australijskiego Stanu

Wiktoria, opublikował na przykład informację dotyczącą sytuacji wyjątkowych i ochrony

danych, która ma być pomocna dla instytucji rządowych.

Analiza doświadczeń innych krajów może wskazywać na określone kwestie dotyczące

informacji, którymi trzeba się będzie zająć.



5 Żywiołów


www.giodo.gov.pl

Większość rządów ma programy obrony cywilnej, które przygotowują ich kraje do katastrof ,

oraz dokonuje przeglądu i stosuje nauki wyniesione z poważnych zdarzeń. Rezolucja

wzywa rządy do szczególnego rozważenia kwestii dotyczących danych osobowych, które

mogą pojawić się wskutek katastrof. Jest to decydujące w społeczeństwach wysoce

usieciowionych.

Jednym z przykładów jest FEMA w USA (Federal Emergency Management Administration –

Federalna Agencja Zarządzania Kryzysowego), która włączyła do swoich programów

ocenę wpływu na ochronę prywatności.

Rządy niekiedy dochodzą do wniosku, że w sytuacjach kryzysowych potrzebne są szczególne

środki. W takich przypadkach powinno się przyjąć proporcjonalne podejście, które będzie

sprzyjać dobru publicznemu przy zachowaniu dobrych standardów ochrony danych. Jeżeli

podjęte zostaną szczególne środki, które oznaczać będą zawieszenie jakiegoś aspektu

ustawy o ochronie danych, lub poszerzenie wyłączeń w zakresie wymiany informacji,

konieczne będzie zadbanie o to, aby zapewnić, że informacje będą zabezpieczone i

wykorzystywane tylko we właściwych celach w przypadku interwencji kryzysowej. Na

przykład organy publiczne zaangażowane w interwencję kryzysową w przypadku katastrofy

powinny mieć do dyspozycji plan dotyczący danych osobowych, które uzyskał, gdy już nie

są dłużej potrzebne do celów interwencji.

.



5 Żywiołów


www.giodo.gov.pl

Utrata dostępności rządowych baz danych przez przedłużony okres bądź całkowita

utrata fizycznych rejestrów może wywołać trudności w normalnych procedurach

uwierzytelniania tożsamości. Mogą również istnieć nowe zagrożenia kradzieży

tożsamości, które mogą obejmować oszustwa dotykające ofiar lub rządu.

Elastyczność w dostosowywaniu procedur dotyczących informacji, być może z

wykorzystanie uwierzytelniania stron trzecich, może być niezbędna w celu

uniknięcia dalszych trudności, jakie mogą mieć ofiary przy realizacji przyznanych

im przez rząd uprawnień. Dobra ochrona danych nie powinna być lekceważona

przy planowaniu takich możliwości.

Interwencje kryzysowe rządu powinny nieustannie szanować prywatność i godność

osób fizycznych. Na przykład w późniejszych fazach interwencji często możliwe

będzie przywrócenie stopnia własnego sprawowania kontroli przez osoby

fizyczne w zakresie tego, kto uzyska dostęp do informacji przechowywanych na

ich temat przez rząd lub instytucje opieki społecznej.



5 Żywiołów


www.giodo.gov.pl

KILKA PODSTAWOWYCH POJĘĆ

Art. 6. 1. W rozumieniu ustawy za dane osobowe uważa się wszelkie

informacje dotyczące zidentyfikowanej lub możliwej do

zidentyfikowania osoby fizycznej.

2. Osobą możliwą do zidentyfikowania jest osoba, której

tożsamość można określić bezpośrednio lub pośrednio, w

szczególności przez powołanie się na numer identyfikacyjny albo

jeden lub kilka specyficznych czynników określających jej cechy

fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub

społeczne.

3. Informacji nie uważa się za umożliwiającą określenie

tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu

lub działań.

5 Żywiołów


www.giodo.gov.pl


Ustawa o informatyzacji definiuje na potrzeby prawa polskiego rejestr

publiczny jako: rejestr, ewidencję, wykaz, listę, spis albo inną formę

ewidencji, służące do realizacji zadań publicznych, prowadzone

przez podmiot publiczny na podstawie odrębnych przepisów

ustawowych.

Lektura stenogramu z posiedzenia Komisji Nadzwyczajnej do rozpatrzenia rządowego

projektu ustawy o informatyzacji działalności niektórych podmiotów realizujących

zadania publiczne z 27 listopada 2003 r. wskazuje, że definicję rejestru Sejm

przyjął bez nadmiernej refleksji, nie dopuszczając ekspertów sejmowych do

wypowiedzi w tym zakresie.

Na kolejnym posiedzeniu komisji strona rządowa potwierdziła wszakże, że intencją

autorów definicji rejestru publicznego było właśnie stworzenie takiego szerokiego

zakresu.

Patrz: Biuletyn nr: 2637/IV Komisji Nadzwyczajnej do rozpatrzenia rządowego projektu

ustawy o informatyzacji działalności niektórych podmiotów realizujących zadania

publiczne nr nr 5 i 6.

5 Żywiołów


www.giodo.gov.pl


Art. 7. Ilekroć w ustawie jest mowa o:

1) zbiorze danych - rozumie się przez to każdy posiadający strukturę

zestaw danych o charakterze osobowym, dostępnych według określonych

kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony

funkcjonalnie,

2) przetwarzaniu danych - rozumie się przez to jakiekolwiek operacje

wykonywane na danych osobowych, takie jak zbieranie, utrwalanie,

przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie,

a zwłaszcza te, które wykonuje się w systemach informatycznych, (…)

4) administratorze danych - rozumie się przez to organ, jednostkę

organizacyjną, podmiot lub osobę (…) decydujące o celach i środkach

przetwarzania danych osobowych,

5) zgodzie osoby, której dane dotyczą - rozumie się przez to

oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych

osobowych tego, kto składa oświadczenie; zgoda nie może być domniemana lub

dorozumiana z oświadczenia woli o innej treści; zgoda może być odwołana

w każdym czasie,

5 Żywiołów


www.giodo.gov.pl

INFRASTRUKTURA INFORMACYJNA PAŃSTWA

Kompleks instytucji, jednostek organizacyjnych, zasobów i systemów informacyjnych

oraz technologii informacyjnych, warunkujących funkcjonowanie określonych

stosunków społecznych (w tym stosunków prawnych), politycznych

i ekonomicznych.

Składają się nań :

– normy informacyjne,

– zasoby informacji,

– systemy informacyjne,

– instytucje informacyjne oraz

– struktury organizacyjne i urządzenia techniczne wspierające procesy

gromadzenia, przetwarzania i przekazywania informacji.

J. Oleński, Infrastruktura informacyjna państwa w globalnej gospodarce,

Warszawa 2006 s. 270-272.

5 Żywiołów


www.giodo.gov.pl

INFRASTRUKTURA INFORMACYJNA PAŃSTWAInfrastruktura informacyjna Państwa to zbiór procedur, modeli, systemów i zasobów

informacyjnych oraz ludzkich, których zadaniem jest zgodne z prawem gromadzenie,

przechowywanie, przetwarzanie i udostępnianie informacji spełniających wymogi

określonych norm w celu realizacji zadań publicznych.

Rozwój i funkcjonowanie infrastruktury informacyjnej państwa zależne są od wielu podmiotów,

ale muszą być koordynowane przez centralną administrację rządową w dziedzinie:

- wprowadzania zasad identyfikacji i klasyfikacji obiektów informacyjnych

o znaczeniu ogólnokrajowym,

- wprowadzania norm i reguł interoperacyjności,

- inicjowania regulacji prawnych dotyczących informacyjnych kontaktów

obywateli i przedsiębiorców z administracją publiczną,

- tworzenia stosownych rozwiązań techniczno-technologicznych

i organizacyjnych infrastruktury informacyjnej,

- określenia zasad udostępniania publicznych zasobów informacyjnych

jednostkom administracji publicznej oraz obywatelom i przedsiębiorcom.

B.Szafrański, Centralny model danych infrastruktury informacyjnej Państwa. podsumowanie

dotychczasowych prac Zespołu KRMI ds. Koordynacji Rozwoju Infrastruktury Informacyjnej Państwa,

Komitet Rady Ministrów ds. Informatyzacji i Łączności 26 marca 2009 r.

5 Żywiołów


www.giodo.gov.pl

WSPÓLNY MECHANIZM WYMIANY INFORMACJIKOMUNIKAT KOMISJI DO RADY I PARLAMENTU EUROPEJSKIEGO

w sprawie projektu planu działania na rzecz ustanowienia wspólnego mechanizmu

wymiany informacji do celów nadzoru obszarów morskich UE

KOM(2010) 584 wersja ostateczna - Bruksela, dnia 20.10.2010

Przykładowe

warstwy

informacji

(niehierarchiczne)

5 Żywiołów


WSPÓLNY MECHANIZM

WYMIANY INFORMACJI

ORGANY

KRAJOWE

WARSTWY

INFORMACJI

Organy morskie

Kontrola rybołówstwa

Bezpieczeństwo

wewnętrzne

Obrona

Wymiana informacji

SAFESEANET

VMS

EUROSUR

PT MARSUR

Wspólny obraz

operacyjny (COP)

zdefiniowany przez

www.giodo.gov.pl

PROFILOWANIE„Profil” oznacza zestaw danych charakteryzujący kategorię osób, który ma

zostać zastosowany odniesieniu do danej osoby.

„Tworzenie profili” oznacza

automatyczną technikę

przetwarzania danych

polegającą na przypisaniu

danej osobie „profilu” w celu

podejmowania dotyczących jej

decyzji bądź analizy lub

przewidywania jej preferencji, zachowań i postaw.

5 Żywiołów


www.giodo.gov.pl

PROFILOWANIE

Tworzenie profili, wg Grupy art. 29

Istnieją dwa podstawowe podejścia do tworzenia profili użytkowników:

i) Profile predykcyjne tworzy się w drodze wnioskowania na podstawie obserwacji

indywidualnego i zbiorowego zachowania użytkowników w czasie,

w szczególności poprzez monitorowanie odwiedzanych stron oraz reklam, które

użytkownik wyświetla, lub na które klika.

ii) Profile jawne tworzy się na podstawie danych osobowych przekazywanych

w ramach usługi sieciowej przez same osoby, których dane dotyczą, np. podczas

rejestracji. Wspomniane podejścia można łączyć. Ponadto profile predykcyjne

mogą stać się jawne później, kiedy osoba, której dotyczą dane utworzy dane

logowania dla danej strony internetowej.

Patrz: Opinia Grupy art. 29 nr 2/2010 w sprawie internetowej reklamy

behawioralnej przyjęta dnia 22 czerwca 2010 r., pkt 2.3., str. 8

5 Żywiołów


www.giodo.gov.pl

PROFILOWANIE – W PROJEKCIE

ROZPORZĄDZENIA UE

(3a) 'profiling' means any form of automated processing of personal data

intended to evaluate certain personal aspects relating to a natural person or

to analyse or predict in particular that natural person’s performance at work,

economic situation, location, health, personal preferences, reliability or

behaviour;

Przepis w sposób wyraźny odwołuje się do wskazań zawartych w rekomendacji

CM/Rec (2010) 13 przyjętej przez Komitet Ministrów Rady Europy w dniu

23.11.2010 r. podczas 1099. posiedzenia wiceministrów

https://wcd.coe.int/wcd/ViewDoc.jsp?id=1710949&Site=CM.

5 Żywiołów


www.giodo.gov.pl

PROFILOWANIE – W PROJEKCIE OGÓLNEGO

ROZPORZĄDZENIA O OCHRONIE DANYCH (UE)

Profiling

1. Without prejudice to the provisions in Article 6 every natural person shall have

the right to object to profiling in accordance with Article 19. The data subject

shall be informed about the right to object to profiling in a highly visible manner.

2. Subject to the other provisions of this Regulation, a person may be subjected to

profiling which leads to measures producing legal effects concerning the data

subject or does similarly significantly affect the interests, rights or freedoms of

the concerned data subject only if the processing:

(a) is necessary for the entering into, or performance of, a contract, where the

request for the entering into or the performance of the contract, lodged by the

data subject, has been satisfied, provided that suitable measures to safeguard

the data subject's legitimate interests have been adduced; or

(b) is expressly authorized by a Union or Member State law which also lays down

suitable measures to safeguard the data subject's legitimate interests;

(c) is based on the data subject's consent, subject to the conditions laid down in

Article 7 and to suitable safeguards.

5 Żywiołów


www.giodo.gov.pl



3. Profiling that has the effect of discriminating against individuals on the basis of race or

ethnic origin, political opinions, religion or beliefs, trade union membership, sexual

orientation or gender identity, or that results in measures which have such effect, shall be

prohibited. The controller shall implement effective protection against possible

discrimination resulting from profiling. Profiling shall not be based solely on the special

categories of personal data referred to in Article 9.

5. Profiling which leads to measures producing legal effects concerning the data subject or

does similarly significantly affect the interests, rights or freedoms of the concerned data

subject shall not be based solely or predominantly on automated processing and shall

include human assessment, including an explanation of the decision reached after such an

assessment. The suitable measures to safeguard the data subject's legitimate interests

referred to in paragraph 2 shall include the right to obtain human assessment and an

explanation of the decision reached after such assessment.

5a. The European Data Protection Board shall be entrusted with the task of issuing

guidelines, recommendations and best practices in accordance with point (b) of Article 66

(1) for further specifying the criteria and conditions for profiling pursuant to paragraph 2.

5 Żywiołów


www.giodo.gov.pl



Article 32a Respect to Risk

1. The controller, or where applicable the processor, shall carry out a risk analysis of the

potential impact of the intended data processing on the rights and freedoms of the data

subjects, assessing whether its processing operations are likely to present specific risks.

2. The following processing operations are likely to present specific risks:(…)

(b) processing of special categories of personal data as referred to in Article 9(1), location

data or data on children or employees in large scale filing systems;

(c) profiling on which measures are based that produce legal effects concerning the individual

or similarly significantly affect the individual; (…)

(e) automated monitoring of publicly accessible areas on a large scale;

(f) other processing operations for which the consultation of the data protection officer or

supervisory authority is required pursuant to point (b) of Article 34(2);

(g) where a personal data breach would likely adversely affect the protection of the personal

data, the privacy, the rights or the legitimate interests of the data subject;

(h) the core activities of the controller or the processor consist of processing operations

which, by virtue of their nature, their scope and/or their purposes, require regular and

systematic monitoring of data subjects;

(i) where personal data are made accessible to a number of persons which cannot

reasonably be expected to be limited.

5 Żywiołów


www.giodo.gov.pl



Article 32a Respect to Risk

(…)

3. According to the result of the risk analysis:

(a) where any of the processing operations referred to in points (a) or (b) of paragraph 2

exist, controllers not established in the Union shall designate a representative in the

Union in line with the requirements and exemptions laid down in Article 25;

(b) where any of the processing operations referred to in points (a), (b) or (h)of paragraph 2

exist, the controller shall designate a data protection officer in line with the requirements

and exemptions laid down in Article 35;

(c) where any of the processing operations referred to in points (a), (b), (c), (d), (e), (f), (g) or

(h) of paragraph 2 exist, the controller or the processor acting on the controller's behalf

shall carry out a data protection impact assessment pursuant to Article 33;

(d) where processing operations referred to in point (f) of paragraph 2 exist, the controller

shall consult the data protection officer, or in case a data protection officer has not been

appointed, the supervisory authority pursuant to Article 34.

4. The risk analysis shall be reviewed at the latest after one year, or immediately, if the

nature, the scope or the purposes of the data processing operations change significantly.

Where pursuant to point (c) of paragraph 3 the controller is not obliged to carry out a

data protection impact assessment, the risk analysis shall be documented.

5 Żywiołów


www.giodo.gov.pl

PROFILOWANIE – W PROJEKCIE DYREKTYWY

UE (Policja i wymiar sprawiedliwosci w sprawach

karnych)

Artykuł 9

Środki oparte na profilowaniu i automatycznym przetwarzaniu

1. Państwa członkowskie stanowią przepisy przewidujące, że środki

wywołujące niekorzystne skutki prawne dla podmiotu danych, lub mające na tę

osobę istotny wpływ i oparte wyłącznie na automatycznym przetwarzaniu danych

mającym służyć ocenie niektórych aspektów o charakterze osobistym podmiotu

danych, jest zakazane, chyba że zostanie dopuszczone prawem, które przewiduje

również gwarancje słusznych interesów podmiotu danych.

2. Automatyczne przetwarzanie danych osobowych, które ma służyć ocenie

niektórych aspektów osobistych osoby fizycznej, nie opiera się jedynie na

szczególnych kategoriach danych osobowych, o których mowa w art. 8. (m.in.

dane dotyczące zdrowia)

5 Żywiołów


www.giodo.gov.pl

CELE PROFILOWANIA

- używanie tej metody ma trzy zasadnicze cele:

1. uzyskanie społecznej i psychologicznej oceny klienta

2. uzyskanie informacji o materialno - społecznym statusie klienta

3. opracowanie sugestii i strategii dla prowadzących działania marketingowe

Takie wyjaśnienie można by bez kłopotu zastosować do profilowania dla celów

marketingowych, gdyby nie fakt, że …..

….. jest to teza z książki ekspertów FBI nt. profilowania zbrodniarzy, w której

słowo „przestępca” zastąpiono słowem „klient”, a „śledztwo” „działaniami

marketingowymi”

Patrz: Holmes, R. M., & Holmes, S. T. : Profiling Violent Crimes: An Investigative

Tool , Wyd. IV ,Thousand Oaks: Sage Publications, Inc. 2008

5 Żywiołów


www.giodo.gov.pl

RADA EUROPY O PROFILOWANIU

Rekomendacja CM/Rec (2010) 13

Komitetu Ministrów państw członkowskich

w sprawie ochrony osób w związku

z automatycznym przetwarzaniem danych

osobowych podczas tworzenia profilii

(Przyjęta przez Komitet Ministrów w dniu 23 listopada 2010 r.

podczas 1099. posiedzenia Wiceministrów)

https://wcd.coe.int/wcd/ViewDoc.jsp?id=1710949&Site=CM

5 Żywiołów


https://wcd.coe.int/wcd/ViewDoc.jsp?id=1710949&Site=CM

www.giodo.gov.pl

33 Międzynarodowa Konferencja Rzeczników Ochrony Danych

i Prywatności – Meksyk, 1 listopada 2011 r.

Rezolucja w sprawie ochrony danych i poważnych katastrof

naturalnych



5 Żywiołów


www.giodo.gov.pl

Organy ochrony danych oraz organy ds. egzekwowania przepisów w zakresie

ochrony prywatności powinny:

Zweryfikować, czy ich krajowe przepisy w zakresie ochrony danych i prywatności

są odpowiednio sformułowane oraz na tyle elastyczne, aby najlepiej służyć

żywotnym interesom osób fizycznych w przypadku poważnej katastrofy

naturalnej oraz, jeżeli jest to nakazane, do zalecenia reformy.

Poddawać okresowym kontrolom własnego przygotowania oraz do rozważenia,

czy muszą podjąć dalsze kroki administracyjne, aby być w stanie jak najlepiej

służyć swoim społecznościom przed lub po poważnej katastrofie naturalnej.

Zapewnić zawczasu swoim społecznościom wytyczne na temat działania prawa

dotyczącego ochrony prywatności w przypadku katastrof naturalnych, w tym

w szczególności aspektów, które będą pomocne przy zapewnieniu skutecznych

reakcji ogółu;



5 Żywiołów


www.giodo.gov.pl

Rządy powinny uwzględnić w planowaniu obrony cywilnej kwestie dotyczące

przetwarzania danych osobowych i ochrony danych, w tym:

Zapewnić, że organy publiczne będą świadome przepisów w zakresie ochrony

danych i prywatności, co ułatwi szybką i bezpieczną wymianę danych

osobowych niezbędną w interwencjach kryzysowych.

Posiadać i zapewnić służbom publicznym plany skutecznej interwencji i ochrony

danych, które będą istotne w pierwszych reakcjach na katastrofę.

Sprostać potrzebom rodzin chcących się dowiedzieć o losach zaginionych

krewnych.

Zapewnić, że wszelkie szczególne środki, które mogą ograniczyć normalne

działanie prawa z zakresu ochrony danych, będą odpowiednio uzasadnione,

adekwatne do danej sytuacji kryzysowej, będą zawierały odpowiednie

zabezpieczenia i będą trwały tylko tak długo, jak długo będzie to niezbędne w

związku z katastrofą.

Szanować prywatność i godność ofiar katastrofy, ocalałych i ich rodzin.



5 Żywiołów


www.giodo.gov.pl

Rezolucja wzywa organy ochrony prywatności do zweryfikowania, czy ich przepisy/ustawy, na

mocy których działają, są odpowiednie do warunków, które mogą powstać w wyniku

poważnej katastrofy naturalnej. Na przykład w wyniku przeglądów dokonanych po wybuchu

bomb na Bali oraz po uderzeniu tsunami na Oceanie Indyjskim Australia zawarła specjalny

przepis w swojej ustawie o ochronie prywatności dotyczący ogłoszenia stanu wyjątkowego

w celu zapewnienia istnienia wystarczającego marginesu swobody w ujawnianiu informacji

do celów związanych z katastrofą. Po dokonaniu przez Parlament przeglądu prawa o

ochronie prywatności w sektorze prywatnym, uwzględniającego kwestię katastrof

naturalnych Kanada zamierza znowelizować prawo/ustawę w celu zapewnienia większego

marginesu swobody w zakresie ujawniania danych w celu identyfikacji osób

poszkodowanych lub zmarłych oraz informowania najbliższej rodziny.

Niniejsza rezolucja zachęca także organy do przeglądu swoich przygotowań, czego częścią

może być dawanie wytycznych organizacjom podlegającym ustawie. Organ, który

proaktywnie się tym zajmował, Rzecznik Ochrony Prywatności Australijskiego Stanu

Wiktoria, opublikował na przykład informację dotyczącą sytuacji wyjątkowych i ochrony

danych, która ma być pomocna dla instytucji rządowych.

Analiza doświadczeń innych krajów może wskazywać na określone kwestie dotyczące

informacji, którymi trzeba się będzie zająć.



5 Żywiołów


www.giodo.gov.pl

Większość rządów ma programy obrony cywilnej, które przygotowują ich kraje do katastrof ,

oraz dokonuje przeglądu i stosuje nauki wyniesione z poważnych zdarzeń. Rezolucja

wzywa rządy do szczególnego rozważenia kwestii dotyczących danych osobowych, które

mogą pojawić się wskutek katastrof. Jest to decydujące w społeczeństwach wysoce

usieciowionych.

Jednym z przykładów jest FEMA w USA (Federal Emergency Management Administration –

Federalna Agencja Zarządzania Kryzysowego), która włączyła do swoich programów

ocenę wpływu na ochronę prywatności.

Rządy niekiedy dochodzą do wniosku, że w sytuacjach kryzysowych potrzebne są szczególne

środki. W takich przypadkach powinno się przyjąć proporcjonalne podejście, które będzie

sprzyjać dobru publicznemu przy zachowaniu dobrych standardów ochrony danych. Jeżeli

podjęte zostaną szczególne środki, które oznaczać będą zawieszenie jakiegoś aspektu

ustawy o ochronie danych, lub poszerzenie wyłączeń w zakresie wymiany informacji,

konieczne będzie zadbanie o to, aby zapewnić, że informacje będą zabezpieczone i

wykorzystywane tylko we właściwych celach w przypadku interwencji kryzysowej. Na

przykład organy publiczne zaangażowane w interwencję kryzysową w przypadku katastrofy

powinny mieć do dyspozycji plan dotyczący danych osobowych, które uzyskał, gdy już nie

są dłużej potrzebne do celów interwencji.

.



5 Żywiołów


www.giodo.gov.pl

Utrata dostępności rządowych baz danych przez przedłużony okres bądź całkowita

utrata fizycznych rejestrów może wywołać trudności w normalnych procedurach

uwierzytelniania tożsamości. Mogą również istnieć nowe zagrożenia kradzieży

tożsamości, które mogą obejmować oszustwa dotykające ofiar lub rządu.

Elastyczność w dostosowywaniu procedur dotyczących informacji, być może z

wykorzystanie uwierzytelniania stron trzecich, może być niezbędna w celu

uniknięcia dalszych trudności, jakie mogą mieć ofiary przy realizacji przyznanych

im przez rząd uprawnień. Dobra ochrona danych nie powinna być lekceważona

przy planowaniu takich możliwości.

Interwencje kryzysowe rządu powinny nieustannie szanować prywatność i godność

osób fizycznych. Na przykład w późniejszych fazach interwencji często możliwe

będzie przywrócenie stopnia własnego sprawowania kontroli przez osoby

fizyczne w zakresie tego, kto uzyska dostęp do informacji przechowywanych na

ich temat przez rząd lub instytucje opieki społecznej.



5 Żywiołów


www.giodo.gov.pl

Artykuł 33 Ocena skutków w zakresie ochrony danych

1. Jeśli operacje przetwarzania stwarzają szczególne ryzyko dla praw

i wolności podmiotów danych z racji swego charakteru, zakresu lub

celów, administrator lub podmiot przetwarzający przeprowadzają w

imieniu administratora danych ocenę skutków przewidywanych operacji

przetwarzania w zakresie ochrony danych osobowych.

OCENA SKUTKÓW PRZEDSIĘWZIĘCIA DLA

OCHRONY DANYCH – Privacy Impact Assessment

5 Żywiołów


www.giodo.gov.pl

Artykuł 33 (…)

2. Szczególne ryzyko, o którym mowa w ust. 1, stwarzają w szczególności następujące

operacje przetwarzania:

a) systematyczna i kompleksowa ocena aspektów osobowych osoby fizycznej bądź

operacje przetwarzania mające na celu analizę lub przewidzenie w szczególności

sytuacji ekonomicznej, miejsca pobytu, stanu zdrowia, preferencji osobistych,

wiarygodności lub zachowania osoby fizycznej, która opiera się na automatycznym

przetwarzaniu, i na której opierają się środki, które wywołują skutki prawne

dotyczące danej osoby lub mają na nią istotny wpływ;

b) przetwarzanie informacji na temat życia seksualnego, stanu zdrowia, rasy i

pochodzenia etnicznego oraz świadczenia usług opieki zdrowotnej, badań

epidemiologicznych lub badań mających na celu wykrycie chorób psychicznych

bądź zakaźnych, jeśli dane są przetwarzane w celu podjęcia na szeroką skalę

środków lub decyzji dotyczących konkretnych osób;

c) monitorowanie publicznie dostępnych miejsc, zwłaszcza przy wykorzystaniu urządzeń

optyczno-elektronicznych (wideonadzór) na szeroką skalę;

d) przetwarzanie danych osobowych w wielkoskalowych zbiorach danych dotyczących

dzieci, danych genetycznych lub biometrycznych; (…)



5 Żywiołów


www.giodo.gov.pl

Artykuł 33 (…)

3. Ocena obejmuje przynajmniej ogólny opis przewidywanych operacji przetwarzania, ocenę

ryzyk dla praw i wolności podmiotów danych, środki przewidywane w celu sprostania

ryzykom, gwarancje, środki i mechanizmy bezpieczeństwa mające zagwarantować

ochronę danych osobowych oraz wykazać zgodność z niniejszym rozporządzeniem,

uwzględniając prawa i słuszne interesy podmiotów danych i innych zainteresowanych

osób.

4. Administrator zwraca się o opinie do podmiotów danych lub ich przedstawicieli w zakresie

planowanego przetwarzania, bez uszczerbku dla ochrony handlowych lub publicznych

interesów lub bezpieczeństwa operacji przetwarzania.

5. Jeśli administrator jest organem lub podmiotem publicznym i jeśli przetwarzanie

wynika z obowiązku prawnego na mocy art. 6 ust. 1 lit. c) przewidującego zasady i

procedury operacji przetwarzania przewidziane przez prawo Unii, ust. 1-4 nie

stosuje się, chyba że państwa członkowskie uznają przeprowadzenie takiej oceny

przed przetwarzaniem za niezbędne.



5 Żywiołów


www.giodo.gov.pl

Podmiot zobowiązany do przekazania choćby części swoich

zasobów do systemu musi mieć pewność co do lokalizacjach

centrów przetwarzania danych.

Wymaganie to dotyczy tym samym nie tylko przekazywania zasobów do

tak zwanych państw trzecich w rozumieniu przepisów o ochronie danych

osobowych, ale również do przekazywania zasobów do państw

należących do EOG,

a nawet do konkretnych centrów przetwarzania danych.

PODSTAWOWE ZASADY

5 Żywiołów


www.giodo.gov.pl

Zarządca systemu jest odpowiedzialny za działania

każdego z podwykonawców

i współpracujących instytucji,

mających udział w realizacji systemu.

PODSTAWOWE ZASADY

5 Żywiołów


www.giodo.gov.pl

Każdy z podwykonawców

traktowany jako podprzetwarzający dane osobowe

powinien być związany takimi samymi

obowiązkami wobec podmiotów przekazujących dane do

systemu jak zarządca systemu.

Zarządca systemu powinien zaś

zarządzać całym łańcuchem podwykonawców

i ich uprawnieniami.

PODSTAWOWE ZASADY

5 Żywiołów


www.giodo.gov.pl

Podmiot wykonujący zadania publiczne przekazujący dane do

systemu powinien pozostawać

wyłącznym administratorem danych osobowych.

Cele zarządzania kryzysowego są jego celami.

Musi więc je dokładne znać.

PODSTAWOWE ZASADY

5 Żywiołów


www.giodo.gov.pl

Zarządca systemu jest zobowiązany

informować uczestnika o wszelkich

zobowiązaniach publicznych

w stosunku do policji i organów ścigania oraz służ specjalnych

w zakresie przekazywania im dostępu do danych

przekazanych do systemu.

Wymaganie to dotyczy oczywiście również wszystkich

podwykonawców

PODSTAWOWE ZASADY

5 Żywiołów


www.giodo.gov.pl

Podmiot przekazujący dane do systemu

powinien znać zasady przeszukiwania,

retencji i usuwania

danych dostarczonych do systemu.

PODSTAWOWE ZASADY

5 Żywiołów


www.giodo.gov.pl

Zarządca systemu

powinien być zobowiązany do raportowania

wszystkich incydentów bezpieczeństwa danych,

ze szczególnym uwzględnieniem tych,

które dotyczyć mogą danych osobowych

przetwarzanych w systemie.

Powinien również udzielić użytkownikowi wszelkiej możliwej

pomocy przy zwalczaniu skutków takich incydentów

bezpieczeństwa.

PODSTAWOWE ZASADY

5 Żywiołów


www.giodo.gov.pl

DZIĘKUJĘ ZA UWAGĘ

[email protected]

http://edugiodo.giodo.gov.pl

mailto:[email protected]

http://edugiodo.giodo.gov.pl/

PRZETWARZANIE DANYCH OSOBOWYCH Z PUBLICZNYCH I … file Niniejsza prezentacja stanowi uzupełnienie...

Documents

Transcript of PRZETWARZANIE DANYCH OSOBOWYCH Z PUBLICZNYCH I … file Niniejsza prezentacja stanowi uzupełnienie...