Legia Warszawa – wyciek danych osobowych dziennikarzy

Posted by Krzysztof Wilk on Marzec 8, 2012
Kategorie: Aktualności. Tagi: , , , , , , , , , , . Dodaj komentarz

W ostatnich dniach z medialnych doniesień możemy dowiedzieć się o wycieku danych osobowych niemal 1,2 tyś. akredytowanych dziennikarzy z bazy danych klubu piłkarskiego Legia Warszawa.

Sprawą zainteresował się Główny Inspektor Ochrony Danych Osobowych ponieważ wyciek dotyczył danych osobowych, których przetwarzanie w zbiorach jest regulowane ustawą o ochronie danych osobowych. Były to: imię i nazwisko, data urodzenia, PESEL i numer telefonu (źródło: Gazeta Wyborcza).

GIODO zapewnia, że obecne działania mają na celu usuniecie przyczyny wycieku, choć nie wyklucza rozszerzenia zakresu kontroli jeżeli okazałoby się, że wyciek był następstwem przestępstwa. Ustawa o ochronie danych osobowych nakłada na podmioty przetwarzające dane osobowe (administratora danych osobowych) konkretne obowiązki, a za ich niedochowanie grozi odpowiedzialność karna.

Zbiory danych osobowych – interpretacja definicji ustawowej

Posted by Krzysztof Wilk on Styczeń 27, 2012
Kategorie: Ustawa o ochronie danych osobowych. Tagi: , , , , , . Dodaj komentarz

Gdy wiemy już co to są dane osobowe to kolejnym elementem istotnym do analizy jest definicja „zbioru danych osobowych”. Jest tak dlatego ponieważ ustawa o ochronie danych osobowych ma przeważająco zastosowanie właśnie do zbiorów danych osobowych.

Art. 2 ust. 2 ustawy o ochronie danych osobowych

Ustawę stosuje się do przetwarzania danych osobowych:

1) w kartotekach, skorowidzach, księgach, wykazach i w innych zbiorach ewidencyjnych,

Ustawowa definicja „zbioru danych osobowych” brzmi następująco:

Art. 7. Ilekroć w ustawie jest mowa o:

1) zbiorze danych – rozumie się przez to każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie,

Zgodnie z interpretacjami Głównego Inspektora Ochrony Danych Osobowych cechą odróżniającą „zbiór danych osobowych”, do którego ma zastosowanie ustawa, od innego zestawienia danych jest jego uporządkowany charakter i możliwość wyszukiwania informacji za pomocą określonego kryterium. Wystarczające jest jedno takie kryterium (np. liczba porządkowa). Jeżeli zestawienie danych posiada taki uporządkowany charakter, to zgodnie z ustawą o ochronie danych osobowych jest zbiorem danych i podlega jej przepisom.

Dane osobowe – interpretacja definicji ustawowej

Posted by Krzysztof Wilk on Styczeń 20, 2012
Kategorie: Ustawa o ochronie danych osobowych. Tagi: , , , , , . 1 komentarz

Rozważając problematykę ochrony danych osobowych należy zacząć od definicji tego pojęcia, czyli pytania: czym tak naprawdę są „dane osobowe”?. Ustawa o ochronie danych osobowych zawiera ogólny opis ale nie przedstawia nam precyzyjnego wyliczenia danych, które należy uważać za „dane osobowe”.

Art. 6. ustawy o ochronie danych osobowych

1. W rozumieniu ustawy za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.

2. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne.

3. Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań.

Za każdym razem odpowiadając sobie na pytanie czy coś jest daną osobową w rozumieniu przepisów czy nie, trzeba rozważyć, czy jest wystarczającą informacją pozwalającą na zidentyfikowanie konkretnej osoby bez nadmiernego wysiłku. Bardzo często zdarza się tak, że pojedyncza informacja, jak na przykład nazwa ulicy nie stanowi pojedynczo danej osobowej ale w zestawieniu z inną informacją, razem są wystarczające dla zidentyfikowania konkretnej osoby. Przykładem informacji, która samodzielnie zalicza się do danych osobowych jest numer PESEL.

„Unia chce rewolucji w ochronie danych osobowych” – RP.pl

Posted by Krzysztof Wilk on Grudzień 9, 2011
Kategorie: Aktualności. Tagi: , , , , . Dodaj komentarz

W internetowym wydaniu dziennika Rzeczpospolita możemy znaleźć informację o planowanym rozporządzeniu Unijnym, które miałoby wprowadzić kary dla przedsiębiorców, którzy nie wypełniają swoich obowiązków związanych z ochroną danych osobowych. Miałyby one wynosić nawet do 5% obrotu – podobne rozwiązanie funkcjonuje w przypadku kar nakładanych przez Urząd Ochrony Konkurencji i Konsumentów.

Zmian idących w tym kierunku mogliśmy się spodziewać gdyż aktualnie ustawa o ochronie danych osobowych jest przestrzegana w zbyt małym stopniu. Kary finansowe zmobilizują przedsiębiorców jak żaden inny instrument. Choć rozporządzenie ma wejść w życie dopiero w 2014 roku to już teraz należałoby pomyśleć o wdrożeniu ochrony danych osobowych w przedsiębiorstwie gdyż jest to wymóg aktualny również teraz a proces wdrożenia może potrwać nawet kilka miesięcy.

Planowane zmiany:

„Wprowadzony ma być obowiązek zawiadamiania krajowego regulatora danych osobowych, w Polsce GIODO, a w szczególnych wypadkach także osoby, której dane dotyczą, o każdym przypadku naruszenia danych np. przez wyciek. I to bardzo szybko, gdyż w ciągu 24 godzin. W niektórych wypadkach może to oznaczać obowiązek doniesienia na siebie (firmę, pracodawcę). Takie rygory stosują już teraz niektóre kraje.

Zliberalizowany ma być natomiast transgraniczny przesył danych poza Unię, co teraz zwykle wymaga zgody krajowego regulatora. Liberalizacja polegać ma m.in. na wprowadzeniu tzw. wiążących reguł korporacyjnych, czyli wewnętrznego regulaminu w międzynarodowych firmach. Wystarczy zatwierdzenie regulaminu w jednym z krajowych urzędów, by na tych zasadach przesyłać dane między oddziałami firmy. Ma być też dodana elastyczna klauzula na przesłanie danych poza UE, mianowicie „w słuszny interes”. Ta furtka ma dotyczyć tylko jednostkowych przekazów. Nowością jest także rezygnacja z obowiązku rejestracji baz danych i ustanowienie Europejskiej Rady ds. Danych Osobowych.”

Strona: Oferta dla firm – ochrona danych osobowych

Posted by Krzysztof Wilk on Sierpień 26, 2011
Kategorie: Aktualności. Tagi: , , , , , . Dodaj komentarz

Ze względu na powtarzające się zapytania postanowiłem utworzyć podstronę bloga z opisem szczegółowej oferty dla przedsiębiorców w zakresie wdrożenia i utrzymania polityki bezpieczeństwa informacji wymaganej przepisami prawa w niemal każdej firmie, która przetwarza dane osobowe. Zapraszam do zapoznania się tutaj: Oferta dla firm – ochrona danych osobowych.

 

Strona: Ustawa o ochronie danych osobowych – tekst jednolity

Posted by Krzysztof Wilk on Lipiec 26, 2011
Kategorie: Aktualności. Tagi: , , . Dodaj komentarz

Zapraszam do zapoznania się z nowo utworzoną stroną, na której zebrałem pełne zestawienie tekstów ustawowych i aktów wykonawczych związanych z ustawą o ochronie danych osobowych. Z aktów prawnych zmieniających i wykonawczych utworzył się już pokaźny zbiór dlatego postanowiłem usystematyzować jego elementy dla większej przejrzystości i wygody czytelników. Zapraszam wszystkich zainteresowanych do korzystania i do zgłębiania wiedzy na temat ochrony danych osobowych, która dotyczy ogromnej ilości podmiotów zarówno publicznych jak i prywatnych.

Link: Ustawa o ochronie danych osobowych – tekst jednolity

Bezpieczeństwo informacji w przedsiębiorstwie cz. 1: Od czego zacząć?

Posted by Krzysztof Wilk on Czerwiec 17, 2011
Kategorie: Bezpieczeństwo informacji w przedsiębiorstwie. Tagi: , , , , , , , , , , , , , . 1 komentarz

Jeżeli masz przeczucie, że w twojej firmie przetwarzane są dane osobowe (a może już to wiesz) i dojrzałeś do poważnego zajęcia się tym faktem i wdrożenia polityki bezpieczeństwa informacji, niewątpliwie po przeczytaniu setek artykułów na ten temat w końcu natrafisz na podstawowy problem: od czego by tu zacząć? Odpowiedź jest prosta: audyt wewnętrzny!

Oczywiście przed rozpoczęciem weryfikacji aktualnej sytuacji w przedsiębiorstwie warto przeczytać ustawę i rozporządzenie aby wiedzieć np. jakie informacje kwalifikują się do terminu „dane osobowe” oraz czym jest ich „udostępnienie” czy „powierzenie”. Z taką wiedzą możemy przystąpić do szczegółowego prześledzenia drogi jaką w firmie pokonują dokumenty oraz dane w postaci elektronicznej i sposobów ich zabezpieczenia.

Na początku warto skategoryzować dane osobowe, które są przetwarzane w przedsiębiorstwie, a podział ten może być wstępem do określenia zbiorów danych osobowych w przyszłości. Osobno należy się zająć np. informacjami dotyczącymi pracowników danej firmy a osobno dotyczącymi klientów czy użytkowników zakładu. Na późniejszym etapie te kategorie pozwolą nam powiązać dane konkretnego typu z określonymi obowiązkami wynikającymi z przepisów prawa.

Każdą kategorie danych osobowych należy śledzić od pojawienia się jej w firmie (moment zbierania danych) poprzez wszystkie pośrednie elementy aż do ostatecznego zarchiwizowania lub zniszczenia. Należy zwrócić uwagę w jakiej formie te dane są zapisane (forma papierowa, elektroniczna albo w obu tych formach), gdzie się znajdują (w jakich pomieszczeniach, schowkach czy urządzeniach), jaki jest ich poziom zabezpieczeń oraz kto w firmie ma do nich dostęp. Niektóre z tych procedur mogą się okazać sprzeczne z podstawowymi zasadami bezpieczeństwa przetwarzania danych osobowych i będzie je trzeba w przyszłości zmienić ale na tym etapie nie jest to najważniejsze gdyż istotna jest pełna i dokładna informacja o funkcjonowaniu przedsiębiorstwa w tym zakresie.

Podczas audytu wewnętrznego należy się oprzeć na obserwacji i rozmowach z pracownikami. Ważne jest aby uzyskać informację rzetelną i pełną dlatego osoby te nie mogą czuć presji związanej z kontrolą ich pracy. Jeżeli przestraszony pracownik podejrzewając, że robi coś źle nie ujawni prawdziwego schematu swoich zachowań, podczas wdrażania procedur bezpieczeństwa informacji nie będziemy mogli dokonać ich korekty nie wiedząc jak wyglądają w rzeczywistości. Warto również dokonać kontroli pod kątem ewentualnych zmian, ponieważ pierwsze skojarzenia w tym zakresie bardzo często okazują się najlepszymi rozwiązaniami dla zabezpieczenia danych osobowych.

Jeżeli nie jesteś właścicielem firmy, a Twój szef zlecił ci zajęcie się tematem ochrony danych osobowych, najlepszym rozwiązaniem będzie aby powierzył Ci również funkcję Administratora Bezpieczeństwa Informacji, który zgodnie z ustawą o ochronie danych osobowych (art. 36 ust. 3) może nadzorować przestrzeganie zasad ochrony danych w przedsiębiorstwie.

Jeżeli jesteś właścicielem przedsiębiorstwa i nie czujesz się dobrze w tej tematyce, a masz świadomość przetwarzania danych osobowych i konieczności wdrożenia polityki bezpieczeństwa informacji – nie trać energii i swojego czasu na te zagadnienia. Konkretne działania należy zlecić profesjonaliście z zewnątrz. Może on wdrożyć odpowiednie zasady funkcjonowania firmy, opracować odpowiednie dokumenty, zgłosić zbiory do Głównego Inspektora Ochrony Danych Osobowych, przeszkolić pracowników i wybrać Administratora Bezpieczeństwa Informacji, który w Twoim imieniu będzie nadzorował funkcjonowanie przedsiębiorstwa pod tym względem.

 

Instrukcja zarządzania systemem informatycznym

Posted by Krzysztof Wilk on Maj 12, 2011
Kategorie: Ustawa o ochronie danych osobowych. Tagi: , , , , , , , , , , , . 1 komentarz

Obok opisywanego niedawno dokumentu „polityka bezpieczeństwa” podmiot, który gromadzi dane osobowe, zobowiązany jest opracować i stosować dodatkową dokumentację opisującą sposób przetwarzania danych osobowych oraz środki techniczne i organizacyjne zapewniające ich ochronę czyli „instrukcję zarządzania systemem informatycznym”.

Zgodnie z art. 36 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jednolity: Dz. U. 2002 r. Nr 101 poz. 926, ze zm.) oraz § 3 ust. 3 i § 5 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 roku w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024), dla zapewnienia ochrony przetwarzanych danych osobowych Administrator Danych Osobowych wprowadza „instrukcję zarządzania systemem informatycznym”.

Instrukcja zarządzania systemem informatycznym zgodnie z § 5 rozporządzenia powinna zawierać w szczególności:

1 ) procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności;
2 ) stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem;
3 ) procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu;
4 ) procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania;
5 ) sposób, miejsce i okres przechowywania:
a) elektronicznych nośników informacji zawierających dane osobowe,
b) kopii zapasowych, o których mowa w pkt 4,
6 ) sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, o którym mowa w pkt III ppkt 1 załącznika do rozporządzenia;
7 ) sposób realizacji wymogów, o których mowa w § 7 ust. 1 pkt 4;
8 ) procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych.

§ 7. 1. Dla każdej osoby, której dane osobowe są przetwarzane w systemie informatycznym — z wyjątkiem systemów służących do przetwarzania danych osobowych ograniczonych wyłącznie do edycji tekstu w celu udostępnienia go na piśmie — system ten zapewnia odnotowanie:
/…/
4) informacji o odbiorcach, w rozumieniu art. 7 pkt 6 ustawy, którym dane osobowe zostały udostępnione, dacie i zakresie tego udostępnienia, chyba że system informatyczny używany jest do przetwarzania danych zawartych w zbiorach jawnych;
/…/

Powyższe wyliczenie jest obowiązkowym katalogiem tematów, które powinny się znaleźć w instrukcji natomiast nie zamyka możliwości rozszerzenia tego dokumentu. Opracowanie i wdrożenie instrukcji zarządzania systemem informatycznym jest jednym z wymogów ustawowych dla podmiotów, którzy przetwarzają dane osobowe. Zaniechanie tego obowiązku naraża Administratora Danych Osobowych na odpowiedzialność karną.

Przepisy prawne

Administrator Danych Osobowych – definicja i podstawowe obowiązki

Posted by Krzysztof Wilk on Kwiecień 29, 2011
Kategorie: Ustawa o ochronie danych osobowych. Tagi: , , , , , , , , , , , . Dodaj komentarz

Jednym z podstawowych zagadnień dotyczących ochrony danych osobowych jest ustalenie kto jest Administratorem Danych Osobowych (w skrócie ADO) i jakie w związku z tym spoczywają na nim obowiązki.

Definicja

Ustawa o ochronie danych osobowych:

Art. 7.
Ilekroć w ustawie jest mowa o:
/…/
4) administratorze danych – rozumie się przez to organ, jednostkę organizacyjną, podmiot lub osobę, o których mowa w art. 3, decydujące o celach i środkach przetwarzania danych osobowych,
Art. 3.
1. Ustawę stosuje się do organów państwowych, organów samorządu terytorialnego oraz do państwowych i komunalnych jednostek organizacyjnych.
2. Ustawę stosuje się również do:
1) podmiotów niepublicznych realizujących zadania publiczne,
2) osób fizycznych i osób prawnych oraz jednostek organizacyjnych niebędących osobami prawnymi, jeżeli przetwarzają dane osobowe w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych
- które mają siedzibę albo miejsce zamieszkania na terytorium Rzeczypospolitej Polskiej, albo w państwie trzecim, o ile przetwarzają dane osobowe przy wykorzystaniu środków technicznych znajdujących się na terytorium Rzeczypospolitej Polskiej.

Niejednokrotnie pojawia się jednak problem wskazania ADO w przypadku spółek prawa handlowego – jest nim spółka, zarząd czy prezes? Informację w tej kwestii udzielił Generalny Inspektor Ochrony Danych Osobowych: „Administratorem danych osobowych wykorzystywanych w zakresie działalności prowadzonej przez przedsiębiorcę jest, co do zasady, przedsiębiorca. Administratorem takich danych jest w szczególności spółka z ograniczoną odpowiedzialnością, spółka akcyjna, spółka jawna oraz spółka komandytowa. Tak więc administratorem danych jest sama spółka prawa handlowego, nie zaś jej organy, osoby zasiadające w organach tej spółki lub pełniące w niej funkcje kierownicze”.

Podstawowe obowiązki

  • Spełnienie przesłanek uprawniających do przetwarzania danych osobowych
  • Spełnienie obowiązku informacyjnego
  • Dołożenie szczególnej staranności w celu ochrony interesów osób, których dane dotyczą
  • Zastosowanie środków technicznych i organizacyjnych zapewniających ochronę danych osobowych
  • Zgłoszenie zbioru do rejestracji

Rozwinięcie powyższych punktów pojawi się w kolejnych artykułach. Zapraszam do systematycznego odwiedzania niniejszego bloga.

Polityka bezpieczeństwa informacji

Posted by Krzysztof Wilk on Kwiecień 26, 2011
Kategorie: Ustawa o ochronie danych osobowych. Tagi: , , , , . 2 uwag

Przedsiębiorstwo, które gromadzi dane osobowe, zobowiązane jest opracować i stosować dokumentację opisującą sposób przetwarzania danych osobowych oraz środki techniczne i organizacyjne zapewniające ich ochronę. „Polityka bezpieczeństwa” jest obok „instrukcji zarządzania systemem informatycznym” najważniejszym dokumentem w przedsiębiorstwie, który opisuje spełnienie ustawowych wymagań dotyczących ochrony danych osobowych.

Zgodnie z art. 36 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jednolity: Dz. U. 2002 r. Nr 101 poz. 926, ze zm.) oraz § 3 ust. 3, § 4 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 roku w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024), dla zapewnienia ochrony przetwarzanych danych osobowych Administrator Danych Osobowych (w naszym przypadku przedsiębiorca) wprowadza „politykę bezpieczeństwa informacji”.

Polityka bezpieczeństwa zgodnie z § 4 rozporządzenia powinna zawierać w szczególności:
1) wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe;
2) wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych;
3) opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi;
4) sposób przepływu danych pomiędzy poszczególnymi systemami;
5) określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych.

Niezależnie od powyższego, Administrator Danych Osobowych może w „polityce bezpieczeństwa” uregulować dodatkowe kwestię mające wpływ na zabezpieczenie danych osobowych. Powyższe wyliczenie jest obowiązkowym katalogiem tematów, które w polityce powinny się znaleźć natomiast nie zamyka możliwości rozszerzenia dokumentu.
Opracowanie i wdrożenie polityki bezpieczeństwa jest jednym z wymogów ustawowych dla przedsiębiorców, którzy przetwarzają dane osobowe. Zaniechanie tego obowiązku naraża Administratora Danych Osobowych na odpowiedzialność karną.

Przepisy prawne