I Dzień Otwarty Biura GIODO W Dąbrowie Górniczej

22 listopada 2012, w Dąbrowie Górniczej odbędzie się:

I Dzień Otwarty Biura GIODO

 

 

 

 

Konferencja – „Prawo nowych technologii w zakresie ochrony danych osobowych i prawa do prywatności”
Miejsce: Wyższa Szkoła Biznesu w Dąbrowie Górniczej, Audytorium Maximum

Agenda:
Godz.11.00-11.10
Powitanie Gości oraz rozpoczęcie Konferencji
prof. Zdzisława Dacko- Pikiewicz- Rektor Wyższej Szkoły Biznesu w Dąbrowie Górniczej

Godz. 11.10-11.35
„Prawo do bycia zapomnianym. Podstawowe prawo człowieka czy groźba stworzenia Ministerstwa Prawdy?”
dr Wojciech Wiewiórowski – Generalny Inspektor Ochrony Danych Osobowych

Godz. 11.35-11.50
„Bezpieczeństwo danych osobowych w systemie informatycznym  – aktualnie obowiązujące przepisy a obecne zagrożenia bezpieczeństwa”
dr Grzegorz Sibiga-  adiunkt w Zakładzie Prawa Administracyjnego w Instytucie Nauk Prawnych PAN , adwokat.

Godz. 11.50- 12.00 Przerwa Kawowa

Godz. 12.00- 12.30
„Kontrola GIODO w praktyce” – Panel dyskusyjny dla przedsiębiorców”
Moderator:
dr Adrian Kapczyński – Prezes Zarządu Oddziału Górnośląskiego Polskiego Towarzystwa Informatycznego
Uczestnicy Panelu:
dr Wojciech Wiewiórowski- Generalny Inspektor Ochrony Danych Osobowych
Pani Bogusława Pilc-Dyrektor Departamentu Inspekcji Biura GIODO
prof. Aleksander Nawrat- Członek Zarządu firmy WASKO S.A.
Jarosław Żabówka- Administrator Bezpieczeństwa Informacji, właściciel firmy proInfoSec

Godz. 12.30-12.45
„Jak zbudować bezpieczeństwo w systemach IT służących do przetwarzania danych osobowych?. Przegląd narzędzi od ISO 27001do OCTAVE i ich znaczenia dla polityki bezpieczeństwa danych osobowych”
dr Marek Pyka- Adiunkt w Katedrze Informatyki Wyższej Szkoły Biznesu w Dąbrowie Górniczej, Dyrektor, ITC-Partners Sp z o.o.

Godz. 12.45- 13.20
„Odpowiedzialność  prawna za naruszenie obowiązków bezpieczeństwa danych osobowych”
adw. Przemysław Kral adwokat, Kancelaria Adwokacka Tychy

Godz. 13.20- 13.30
„Ochrona danych osobowych w aspekcie zawierania umów o dostarczanie energii elektrycznej oraz ciepła”
Marzena Czarnecka- Radca Prawny TAURON Sprzedaż GZE Sp. z o.o.,

godz. 14.30-16.00 Seminarium Szkoleniowe kierowane dla przedstawicieli Administracji Publicznej (Sala Sesyjna Urzędu Miasta w Dąbrowie Górniczej)

Więcej informacji na stronie spotkanie GL oraz stronie WSB

Sejm przyjął sprawozdanie Generalnego Inspektora Ochrony Danych Osobowych z działalności w roku 2009 i 2010

17 lutego 2012 roku, Sejm przyjął sprawozdanie Generalnego Inspektora Ochrony Danych Osobowych z działalności w roku 2009 i 2010.
Wystąpienie GIODO, opinie Klubów Parlamentarnych, pytania Posłów oraz odpowiedzi Ministra Wiewiórowskiego można wysłuchać pod tym adresem:
http://www.tvpparlament.pl/retransmisje/sejm-rp/8-posiedzenie-sejmu-rp-17022012-godz-0900/6525176  

Na wysłuchanie całości materiału, trzeba poświęcić nieco czasu. Poniżej pozwalam sobie przedstawić wybór, moim zdaniem najważniejszych tematów, na które w swojej wypowiedzi zwrócił uwagę GIODO:

  • Zauważalny jest wzrost liczby wpływających do Biura GIODO skarg i zapytań.
  • Występują problemy z ustawą o dostępie do informacji publicznej. Zbyt często, urzędy, zwłaszcza samorządowe, zasłaniają się ustawą o ochronie danych osobowych, by nie udostępniać informacji publicznych.
  • Bardzo często brak jest realizowania obowiązku informacyjnego, lub jest on realizowany w sposób niedbały.
  • Występują problemy w zabezpieczaniu danych.
    • Operatorzy telekomunikacyjni i urzędy miejskie – przesyłają niezabezpieczoną korespondencję i w wypadku nieobecności adresata zostawiają ją u sąsiada lub w drzwiach.
    • Komornicy sądowi i naczelnicy urzędów skarbowych przesyłają wezwania pozbawione koperty.
    • Zdarza się ujawnianie danych wrażliwych w opisach na kopertach.
  • Nastąpił spadek liczby skarg w stosunku do podmiotów działających na rynku marketingu bezpośredniego i na rynku finansowym.
  • Nastąpił wzrost liczby skarg względem podmiotów przetwarzających dane w Internecie (na podstawie prawa telekomunikacyjnego i ustawy o świadczeniu usług drogą elektroniczną).
  • W latach których dotyczyły sprawozdania, nastąpiło nieznaczne zmniejszenie ilości przeprowadzanych kontroli.
  • Zdaniem GIODO liczba przeprowadzanych kontroli jest zdecydowanie za niska.
  • Utrzymywał się stały poziom liczby decyzji administracyjnych oraz kierowanych do Biura GIODO projektów aktów prawnych (2009r. – 624, 2010r. – 614)
  • Bardzo niepokoi GIODO tendencja do tworzenia przez organy megabaz danych osobowych, jak również próby zbierania danych jedynie dla usprawnienia funkcjonowania, co stanowi naruszenie konstytucyjnego prawa obywateli.
  • Nastąpił zdecydowany wzrost liczby zgłaszanych do rejestracji zbiorów danych osobowych.
  • GIODO uważa, że przepisy karne ustawy powinny być zamienione na przepisy o charakterze karno-administracyjnym.
  • GIODO zwrócił uwagę, że ochrona danych osobowych to nie tylko przymus. Ochrona danych osobowych to wiarygodność wobec klientów i wobec kontrahentów. A zgodnie z Agendą cyfrową „Europejczycy nie będą korzystali z usług którym nie ufają”.
  • Generalny Inspektor uważa, że w sytuacji gdy administracja nie jest konkurencyjnym pracodawcą (w szczególności dla prawników i informatyków), praca w Biurze GIODO jest traktowana jako przygotowanie do życia w prywatnych firmach.
  • Problemem niedostatecznie uregulowanym w polskim prawie jest jawny dostęp do danych i otwarty dostęp do danych w Internecie. Cały czas posługujemy się pojęciem jawności formalnej rejestrów publicznych, które pochodzi z lat 30 XX wieku.
  • Należy zwrócić uwagę na retencję danych telekomunikacyjnych.
  • Konieczne są działania uświadamiające, skierowane do młodego pokolenia.
  • Jeszcze nierozpoznane są problemy wynikające ze stosowania inteligentnych liczników energii.

W wygłoszonych opiniach Klubów Poselskich, odniesiono się bardzo pozytywne  do przedstawionych sprawozdań oraz deklarowano większe zaangażowanie – oby rzeczywiście miało to miejsce.

Odpowiadając na pytania Posłów, Generalny Inspektor zwrócił uwagę na kolejne problemy:

  • System informacji oświatowej.
  • Przetwarzanie danych osobowych przez kościoły i związki wyznaniowe.
  • System informacji w ochronie zdrowia.
  • Problem nielegalności rejestrów medycznych.
  • Biometria i wykorzystanie danych biometrycznych w stosunkach pracy.
  • Kontrole w urzędach kontroli skarbowej – problemy informatyczne powodowane przez software dostarczony przez ministra finansów.
  • Monitoring losów absolwentów przez szkół wyższych – będzie prowadzony jedynie za zgodą absolwenta.
  • ACTA.
  • Współpraca GIODO z Parlamentem i Rządem.
  • Ustawa fotoradarowa.
  • Trudna sytuacja finansowa i kadrowa odpowiedników GIODO w innych państwach UE – czy nie grożą nam takie same problemy.
  • Karty zdrowia przy łóżku chorego.
  • Wyłączenie IPN spod kontroli GIODO.
  • Konieczność stworzenia precyzyjnych przepisów dotyczących przetwarzania danych osobowych w Policji i służbach bezpieczeństwa.

Na przesłuchanie całości materiału trzeba poświęcić trochę czasu, ale moim zdaniem warto. Mam również nadzieję, że Posłowie dotrzymają swojego zobowiązania i sprawozdanie GIODO za 2011 rok, zostanie przyjęte jeszcze w tym półroczu.

Dzień Ochrony Danych Osobowych 2012

28 stycznia 2012 obchodzimy kolejny Dzień Ochrony Danych Osobowych. Czy takie święto jest potrzebne? Dyskutowaliśmy na ten temat w trakcie ostatniego Internetowego Spotkania ABI. Zapraszam do wysłuchania wypowiedzi Europejskiego Inspektora Ochrony Danych Osobowych z okazji DODO 2012 – http://www.edps.europa.eu/EDPSWEB/edps/site/mySite/data_protection_day_2012

Czy dane z Płatnika podlegają rejestracji u GIODO?

Czyje dane będą w zbiorze?

  • pracowników – zbiorów danych przetwarzanych w celach związanych z zatrudnieniem własnych pracowników nie zgłaszamy.
  • przetwarzasz dane na zlecenie (biuro podatkowe, itp.) – to jest powierzenie danych do przetworzenia (art.31 UODO). Zgłoszenie jest problemem administratora danych. Powiernik jedynie podpisuje umowę.
  • innych osób, na podstawie odrębnych ustaw (np. podopieczni Ośrodka Pomocy Społecznej)–prawdopodobnie zbiór jest już zgłoszony, tzn. istotna jest podstawa prawna na podstawie której przetwarzamy dane. Jeżeli te same dane przetwarzamy przez dwie aplikacje, to nie musimy zgłaszać ich dwukrotnie (na tej samej zasadzie nie zgłaszamy danych przechowywanych w aktach papierowych, jako innego zbioru w stosunku do tych samych danych przetwarzanych w systemie komputerowym) – ale uwzględniamy te systemy w części E zgłoszenia.

Czy zgodnie z obowiązującym prawem, apteka musi rejestrować bazę danych osobowych w GIODO? Są to co prawda dane wrażliwe, jednak z drugiej strony – z tego co wiem – bazy danych z pacjentami w ochronie zdrowia zwolnione są z takiego wymogu, a więc także dotyczy to aptek. Z trzeciej strony baza taka służyć ma obsłudze pacjentów np. wydawaniu leków na receptę, ale już wykorzystywanie jej do innych celów np. wysyłki kartek okolicznościowych nie służy „statutowym” działaniom apteki, a więc czy ta sama baza raz musi być rejestrowana w GIODO a raz nie musi. Z czwartej strony oczywiście większość pacjentów nie zgodzi się, żeby bazę służącą wydawaniu recept wykorzystywać do celów marketingowych, a więc w zasadzie powinna powstać druga baza tylko z tymi osobami, które się zgodzą, rozumiem, że wówczas taką „podbazę” trzeba zgłaszać do GIODO. Z piątej strony, o ile znam GIF, to nie zgodzi się na tworzenie takich baz do potrzeb marketingowych, bo apteki nie są po to, aby prowadzić działalność reklamową (nawet samoreklamową). Rozumiem, że takie same ograniczenia towarzyszą wysyłce elektronicznej?

Ustawa o ochronie danych osobowych nakłada na przetwarzających te dane szereg obowiązków. Nie udam się ich dopełnić, jeżeli nie zapoznamy się z podstawowymi pojęciami wprowadzonymi w ustawie.

Nie stworzymy wymaganych dokumentów, takich jak: polityka bezpieczeństwa, instrukcja zarządzania systemem informatycznym i nie przygotujemy zgłoszenia zbioru, jeżeli nie będziemy prawidłowo rozumieć terminów: dane osobowe, zbiór danych, administrator danych, itd.

Już samo pojęcie zbioru danych osobowych stwarza pewne problemy i jest często mylone z bazą danych. Baza danych to nie jest to samo co zbiór danych osobowych!

Należy wyraźnie odróżnić zbiór danych, od jego fizycznej reprezentacji w bazie danych programu w którym dane przetwarzamy. Ten sam zbiór może być przetwarzany jednocześnie w kilku bazach (lub programach) a nawet w formie akt papierowych. W jednej bazie danych programu komputerowego możemy również przetwarzać kilka zbiorów danych. Co więcej, ta sama informacja, może jednocześnie należeć do różnych zbiorów danych osobowych.

Najlepiej zapomnieć na chwilę o programach komputerowych, bazach danych i zastanowić się jakie dane, w jakim celu i w oparciu o jaką przesłankę uchylającą zakaz przetwarzania (art.23 ust.1 ustawy o ochronie danych osobowych), będą u nas przetwarzane. Przykładowo, możemy stwierdzić, że przetwarzamy dane osobowe w pięciu zbiorach:

–       Dane pracowników – art.23 ust.1 pkt 2-  „jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa. Zbiór zwolniony z rejestracji.

–       Dane przetwarzane w związku z realizacją recepty  – art.23 ust.1 pkt 2- „jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa. Zbiór zwolniony z rejestracji.

–       Dane przetwarzane w celu wystawienia faktury – art.23 ust.1 pkt 2- „jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa. Zbiór zwolniony z rejestracji.

–       Dane przetwarzane w celach marketingowych – art.23 ust.1 pkt 1- „osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych. Zbiór zgłaszamy.

–       Dane przetwarzane w celu dostawy towaru do klienta – art.23 ust.1 pkt 3- „jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą. Zbiór zgłaszamy.

To w ilu i jakich programach i bazach danych są przetwarzane dane z tych zbiorów, nie jest dla identyfikacji zbiorów istotne. Informację o tym będziemy musieli jednak później umieścić w naszej polityce bezpieczeństwa.

Zbiory danych związane z realizacją recept nie podlegają rejestracji. Podobnie, nie podlegają jej zbiory danych tworzone wyłącznie w celu wystawienia faktury, zbiory danych przetwarzanych w związku z zatrudnieniem, itd.

Podkreślmy, że ewentualnej rejestracji podlega zbiór danych (nie „dane”, nie „baza danych”). Dlatego nie możemy twierdzić, że ta sama baza danych raz musi być zgłaszana a raz nie musi, gdyż zgłaszany jest zbiór danych osobowych. Nawet jeżeli, dla ułatwienia, dane są wprowadzane do systemu tylko jeden raz, to mogą być przetwarzane w różnych zbiorach, np. różniących się celem przetwarzania.

To, że zbiór danych osobowych jest zwolniony z rejestracji, nie oznacza, że do przetwarzania danych w tym zbiorze nie znajdują zastosowania przepisy ustawy, a administrator danych jest zwolniony z pozostałych spoczywających na nim obowiązków. W szczególności administrator musi opracować politykę bezpieczeństwa, instrukcję zarządzania systemem informatycznym, dopełnić obowiązku zabezpieczenia danych, prowadzenia dokumentacji, wydawania upoważnień, itd.

Sprawozdanie GIODO za 2010 rok

Roczne sprawozdanie Generalnego Inspektora Ochrony Danych Osobowych stanowiły zawsze bardzo ciekawe źródło wiedzy dla osób zajmujących się ochroną danych. Nie inaczej jest w wypadku sprawozdania za rok 2010 (dostępne pod adresem – http://www.giodo.gov.pl/1520113/j/pl/). Warto przyjrzeć się, na co zwracają uwagę kontrolerzy GIODO i w związku z jakimi problemami Generalny Inspektor kierował wystąpienia. Sprawozdanie zawiera informacje, z czym mieli najczęściej problemy Administratorzy danych skontrolowani przez GIODO.

Postanowiłem zamieścić poniżej moje, jak najbardziej subiektywne, zestawienie zagadnień i błędów Administratorów danych, wskazywanych w sprawozdaniu GIODO za 2010 rok:

  • Niespełnianie przez systemy służące do przetwarzania danych wymogów określonych w §7 rozporządzenia.
  • Nieodnotowywanie przekazywania dokumentów pomiędzy jednostkami organizacyjnymi Administratora danych.
  • Nieodnotowywanie wynoszenia dokumentów poza obszar przetwarzania.
  • Brak rejestru pobierania i zdawania kluczy do pomieszczeń.
  • Brak szyfrowania danych przesyłanych w sieci publicznej.
  • Nieprzestrzeganie zasady ograniczenia czasowego.
  • Niestosowanie haseł o wymaganej złożoności oraz niezmienianie haseł z wymaganą częstotliwością.
  • Ustawienie monitorów umożliwiające zapoznanie się danymi przez osoby nieupoważnione.
  • Przesyłanie niezaszyfrowanych danych pocztą elektroniczną.
  • Niekompletna dokumentacja.
  • Brak procedur przechowywania danych archiwalnych.
  • Niewyznaczenie ABI.
  • Dopuszczenie do przetwarzania danych osób nieupoważnionych.
  • Brak umów powierzenia.
  • Brak opisów struktur zbiorów i przepływu danych pomiędzy systemami.
  • Brak swobody wyrażenia zgody na przetwarzanie danych – zgody zawierające różne cele, niewskazanie celu.
  • Pozyskiwanie zgody na marketing własnych produktów.
  • Niedopełnienie obowiązku informacyjnego.
  • Niezarejestrowanie zbioru.
  • Niedołożenie szczególnej staranności, a w szczególności niezapewnienie, aby dane były przetwarzane zgodnie z prawem – przetwarzanie danych w szerszym zakresie niż to wynika z przepisów prawa.
  • Stosowanie procedur zgodnie z którymi hasła są znane osobom innym niż użytkownicy.
  • Zatrzymywanie dowodów i legitymacji jako zastawu.
  • Przesyłanie przez bank karty kredytowej, bez zawarcia umowy o kartę kredytową.
  • Nieprzestrzeganie trzydziestodniowego terminu udzielenia informacji wynikających z obowiązku informacyjnego.
  • Publikowanie danych osobowych na stronie internetowej parafii.
  • Stosowanie monitoringu w sposób naruszający prywatność osób.
  • Naruszenie prywatności w trakcie programu „Uwaga Pirat”.
  • Zatrzymanie przez izbę wytrzeźwień, telefonu komórkowego z kartą pamięci jako zastawu.
  • Wymaganie zgody na przetwarzanie danych osobowych w wypadkach, gdy dane są przetwarzane w celu realizacji obowiązku wynikającego z przepisów prawa.
  • Naruszenie prywatności polegające na głośnym podawaniu danych osobowych w rejestracji przychodni.
  • Przesyłanie ofert do osób, których dane zostały zebrane w innym celu.
  • Wykraczający poza określony w ustawie, zakres danych zbieranych przez przedszkola na podstawie uchwał rady gminy.
  • Udostępnianie przez pracodawców, danych pracowników związkom zawodowym.
  • Naruszanie prywatności, przez instalowanie na osiedlach mieszkaniowych kamer.
  • Udostępnianie danych zgromadzonych na komputerze firmie serwisowej.

 

Serwis wykorzystuje pliki Cookies. <br>Korzystając z serwisu wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki. Dowiedz się więcej.

The cookie settings on this website are set to "allow cookies" to give you the best browsing experience possible. If you continue to use this website without changing your cookie settings or you click "Accept" below then you are consenting to this.

Close