INFORMATYKA W ADMINISTRACJI

DEFINICJE USTAWOWE

Ustawa z 29 sierpnia 1997r. O ochronie danych osobowych
Dz.U. 1997 nr 133 poz. 883

Art.. 6 1. W rozumieniu ustawy za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.
Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań.

Dyrektywa 95/46/WE zwana dyrektywą o ochronie danych definiuje dane osobowe jako wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej ( osoby której dane dotyczą); osoba możliwa do zidentyfikowania to osoba której tożsamość można ustalić bezpośrednio lub pośrednio, szczególnie przez powołanie się na numer identyfikacyjny lub jeden bądź kilka szczególnych czynników określających jej fizyczną, fizjologiczną, umysłową, ekonomiczną, kulturową lub społeczną tożsamość.
Definicja określona w ustawie i dyrektywie ma jasno postawiony celma chronić podstawowe prawa i wolności osób fizycznych, w szczególności ich prawo do prywatności w odniesieniu do przetwarzania danych osobowych.

Element pierwszy definicji „Wszelkie informacje” Sformułowanie to wskazuje, iż intencją ustawodawcy było ustanowienie szerokiego pojęcia danych osobowych i wymaga szerokiej interpretacji; Jeśli chodzi o charakter informacji, pojęcie danych osobwych obejmuje wszelkie stwierdzenia na temat osoby. Obejmuje ono informacje obiektywne takie jakie obecność pewnych substancji w czyjejś krwi, a także informacje subiektywne – opinie lub oceny. - np. często spotykane jest to w systemach bankowych , ubezpieczeniach bądź w systemach pracowniczych- np. Kowalski jest rzetelnym dłużnikiem, nie przewiduje się rychłej śmierci Kowalskiego, Kowalski jest dobrym pracownikiem i zasługuje na awans.

Aby stanowić dane osobowe informacja nie musi być prawdziwa ani sprawdzona. Jeśli chodzi o treść informacji, pojęcie danych osobowych obejmuje dane zawierająca wszelkiego rodzaju informacje. Termin ten obejmuje informacje dotyczące życia prywatnego i rodzinnego sensu stricto danej osoby, ale także informacje dotyczące wszelkich działań przez nią podejmowanych, takich jak informacje dotyczące relacji zawodowych , zachowań ekonomicznych lub też społecznych Jeśli chodzi o format informacji lub nośnik, pojęcie danych osobowych obejmuje informacje dostępne w jakiejkolwiek formie, na przykład alfabetycznej, liczbowej, graficznej, fotograficznej lub akustycznej.

W przypadku bankowych usług telefonicznych, jeżeli instrukcje głosowe klienta nagrywane są na taśmę, to te nagrania należy uważać za dane osobowe W przypadku nadzoru wideo, obraz osób zarejestrowanych przez system nadzoru wideo mogą stanowić dane osobowe jeżeli można rozpoznać te osoby W postępowaniu sądowym- w wyniku testu neurologicznopsychiatrycznego przeprowadzonego na dziewczynce w czasie postępowania sądowego w sprawie opieki nad nią, przedłożono sporządzony przez nią rysunek przedstawiający jej rodzinę. Rysunek zawiera informacje o nastroju dziewczynki oraz jej odczuciach w stosunku do różnych członków jej rodziny, W związku z tym, należy go uważać za dane osobowe- rysunek ujawnia informacje dotyczące dziecka ( jego stan zdrowia z punktu widzenia psychiatrycznego) a także zachowania jej ojca lub matki.

Drugi element definicji: dotyczące Pewna informacja dotyczy osoby, jeżeli jest ona na temat tej osoby. W wielu przypadkach ustalenia takiego związku jest łatwe. Na przykład dane zarejestrowane w indywidualnych aktach danej osoby w biurze kadr w jasny sposób dotyczą sytuacji tej osoby jako pracownika. Podobnie jest w przypadku danych o wynikach analiz medycznych pacjenta, zawartych w jego karcie lub też w przypadku wizerunku osoby sfilmowanej w trakcie wywiadu. W wielu innych przypadkach ustalenie że dana informacja dotyczy pewnej osoby może jednak nie być tak łatwe. W niektórych przypadkach dane przekazują przede wszystkim informacje o przedmiotach a nie o osobach.

Wartość danego domu stanowi informację o przedmiocie. Przepisy dotyczące ochrony danych nie znajdują zastosowania, jeżeli informacja taka zostanie wykorzystana wyłącznie w celu ilustracji poziomu cen nieruchomości w pewnej dzielnicy. Jednakże w pewnych okolicznościach taka informacja może również zostać uznana za dane osobowe. Dom jest dobrem należącym do pewnego właściciela i jako taki może zostać na przykład uwzględniony przy ustaleniu wysokości zobowiązań podatkowych tej osoby. W tym kontekście informację taką należy niewątpliwie uznać za dane osobowe.

Element trzeci- Zidentyfikowanej lub możliwej do zidentyfikowania Osobę fizyczną można uważać za zidentyfikowaną jeżeli w grupie osób można ją odróżnić od wszystkich pozostałych członków grupy. Osoba fizyczna jest też możliwa do zidentyfikowania jeżeli mimo że nie została jeszcze zidentyfikowana, taka identyfikacja jest możliwa. Identyfikacja dokonuje się zazwyczaj dzięki poszczególnym informacjom, które można nazwać czynnikami identyfikującymi i które wiążą się w sposób szczególny i bliski z daną osobą. Są to np. cechy wyglądu zewnętrznego, cechy osobowe, cechy psychofizyczne

O tym, na ile poszczególne czynniki identyfikujące pozwalają na ostateczne ustalenie tożsamości, decydują szczególne okoliczności danej sytuacji. Bardzo pospolite nazwisko nie pozwoli na zidentyfikowanie kogoś z ogółu mieszkańców Polski, ale umożliwi np. zidentyfikowanie ucznia w klasie. Nawet drugorzędna informacja, taka jak mężczyzna w czarnym garniturze może pozwolić na zidentyfikowanie kogoś wśród pieszych stojących na światłach. W związku z tym ustalenie czy osoba której dotyczy informacja, jest zidentyfikowana czy też nie, zależy od okoliczności sprawy.

Element czwarty- osoby fizycznej Ustawowa ochrona przysługuje osobom fizycznym. Prawo to jest prawem uniwersalnym, a nie prawem ograniczonym do obywateli lub osób zamieszkałych w naszym kraju.

Art. 27. 1. Zabrania się przetwarzania danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również danych o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz danych dotyczących skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym.

przetwarzanie danych - rozumie się przez to jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych. Przetwarzaniem jest zatem już samo przechowywanie danych, nawet jeśli podmiot faktycznie z nich nie korzysta. W Pojęciu przetwarzania mieści się także ich udostępnianie, zmienianie, modyfikowanie, przekazywanie, zbieranie, utrwalanie, opracowywanie.

Administrator danych- rozumie się przez to organ, jednostkę organizacyjną, podmiot lub osobę, decydujące o celach i środkach przetwarzania danych osobowych,

zbiór danych - rozumie się przez to każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie. Wszelkie materiały gromadzone w formie akt, w tym sądowe, prokuratorskie, policyjne i inne zawierające dane osobowe, są zbiorami danych osobowych. Typowym zbiorem danych jest zestaw informacji o pracownikach, zgromadzonych w związku z ich zatrudnieniem i świadczeniem przez nich prac, wykorzystywany przez różne komórki organizacyjne pracodawcy, zarówno w systemach informatycznych jak i w formie papierowej.

Organem do spraw ochrony danych osobowych jest Generalny Inspektor Ochrony Danych Osobowych, 2. Generalnego Inspektora powołuje i odwołuje Sejm Rzeczypospolitej Polskiej za zgodą Senatu. 3. Na stanowisko Generalnego Inspektora może być powołany ten, kto łącznie spełnia następujące warunki: 1) jest obywatelem polskim i stale zamieszkuje na terytorium Rzeczypospolitej Polskiej, 2) wyróżnia się wysokim autorytetem moralnym, 3) posiada wyższe wykształcenie prawnicze oraz odpowiednie doświadczenie zawodowe, 4) nie był karany za przestępstwo. 4. Generalny Inspektor w zakresie wykonywania swoich zadań podlega tylko ustawie. 5. Kadencja Generalnego Inspektora trwa 4 lata, licząc od dnia złożenia ślubowania. Po upływie kadencji Generalny Inspektor pełni swoje obowiązki do czasu objęcia stanowiska przez nowego Generalnego Inspektora. 6. Ta sama osoba nie może być Generalnym Inspektorem więcej niż przez dwie kadencje. 7. Kadencja Generalnego Inspektora wygasa z chwilą jego śmierci, odwołania lub utraty obywatelstwa polskiego. 8. Sejm, za zgodą Senatu, odwołuje Generalnego Inspektora, jeżeli: 1) zrzekł się stanowiska, 2) stał się trwale niezdolny do pełnienia obowiązków na skutek choroby, 3) sprzeniewierzył się złożonemu ślubowaniu, 4) został skazany prawomocnym wyrokiem sądu za popełnienie przestępstwa.

Zasady przetwarzania danych osobowych - Zasada legalności - Zasada celowości - Zasada merytorycznej poprawności - Zasada adekwatności - Zasada ograniczenia czasowego

Zasada legalności: Art. 23. 1. Przetwarzanie danych jest dopuszczalne tylko wtedy, gdy: 1) osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych, 2) jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa, 3) jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą, 4) jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego, 5) jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.

Art. 27. 1 Zabrania się przetwarzania danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również danych o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz danych dotyczących skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym. 2. Przetwarzanie danych, o których mowa w ust. 1, jest jednak dopuszczalne, jeżeli: 1) osoba, której dane dotyczą, wyrazi na to zgodę na piśmie, chyba że chodzi o usunięcie dotyczących jej danych, 2) przepis szczególny innej ustawy zezwala na przetwarzanie takich danych bez zgody osoby, której dane dotyczą, i stwarza pełne gwarancje ich ochrony, 3) przetwarzanie takich danych jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby, gdy osoba, której dane dotyczą, nie jest fizycznie lub prawnie zdolna do wyrażenia zgody, do czasu ustanowienia opiekuna prawnego lub kuratora, 4) jest to niezbędne do wykonania statutowych zadań kościołów i innych związków wyznaniowych, stowarzyszeń, fundacji lub innych niezarobkowych organizacji lub instytucji o celach politycznych, naukowych, religijnych, filozoficznych lub związkowych, pod warunkiem, że przetwarzanie danych dotyczy wyłącznie członków tych organizacji lub instytucji albo osób utrzymujących z nimi stałe kontakty w związku z ich działalnością i zapewnione są pełne gwarancje ochrony przetwarzanych danych,

5) przetwarzanie dotyczy danych, które są niezbędne do dochodzenia praw przed sądem, 6) przetwarzanie jest niezbędne do wykonania zadań administratora danych odnoszących się do zatrudnienia pracowników i innych osób, a zakres przetwarzanych danych jest określony w ustawie, 7) przetwarzanie jest prowadzone w celu ochrony stanu zdrowia, świadczenia usług medycznych lub leczenia pacjentów przez osoby trudniące się zawodowo leczeniem lub świadczeniem innych usług medycznych, zarządzania udzielaniem usług medycznych i są stworzone pełne gwarancje ochrony danych osobowych, 8) przetwarzanie dotyczy danych, które zostały podane do wiadomości publicznej przez osobę, której dane dotyczą, 9) jest to niezbędne do prowadzenia badań naukowych, w tym do przygotowania rozprawy wymaganej do uzyskania dyplomu ukończenia szkoły wyższej lub stopnia naukowego; publikowanie wyników badań naukowych nie może następować w sposób umożliwiający identyfikację osób, których dane zostały przetworzone, 10) przetwarzanie danych jest prowadzone przez stronę w celu realizacji praw i obowiązków wynikających z orzeczenia wydanego w postępowaniu sądowym lub administracyjnym.

.

W zasadzie legalności szczególną rolę odgrywa przesłanka zgody osoby której dane dotyczą. W myśl art. 7 pkt5 ustawy, przez zgodę rozumie się oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego kto składa oświadczenie. Zgodna nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści. Przykładowa treść oświadczenia woli: Wyrażam zgodę na przetwarzanie moich danych osobowych w zakresie obejmującym imię, nazwisko i adres zamieszkania przez XVY z siedzibą w Warszawie ul. Kościuszki 13, w celach przesyłania ofert marketingowych jak również na przekazywanie ich innym podmiotom. Warszawa dnia 22 lutego 2010 Jan Kowalski

• Zasada celowości : • Zasada ta, zwana również zasadą związania z celem, oznacza, iż zbieranie danych osobowych powinno być dokonywane dla oznaczonych, zgodnych z prawem celów i nie poddawane dalszemu przetwarzaniu niezgodnemu z tymi celami. - Zbierający dane nie może pominąć ani zataić celu tego zbierania - - nie można określać celu w sposób ogólnikowy - - cel ten powinien być zakomunikowany zainteresowanemu przed zebraniem danych

Zasada merytorycznej poprawności – dane powinny być zgodne z prawdą, kompletne i aktualne. Administrator danych powinien wypracować tryb weryfikowania prawdziwości danych oraz ustalić zasady postępowania w przypadku stwierdzenia ich nieprawidłowości.

Zasada adekwatności : Zgodnie z nią, administrator powinien przetwarzać tylko takiego rodzaju dane i tylko o takiej treści, które są niezbędne ze względu na cel zbierania danych.

Dokument Elektroniczny: Stanowiący odrębną całość znaczeniową zbiór danych uporządkowanych w określonej strukturze wewnętrznej i zapisany na informatycznym nośniku danych Nośnik informatyczny : materiał lub urządzenie służące do zapisywania, przechowywania i odczytywania danych w postaci cyfrowej lub analogowej.

1) 2) 3) 4)

Musi być to zbiór danych Musi być odrębna całość znaczeniowa Musi mieć określoną strukturę wewnętrzną Musi być zapisany gdziekolwiek gdzie można go zapisać

Kodeks Karny w art. 115 §14 kodeksu karnego definiuje dokument jako każdy przedmiot lub inny zapisany nośnik informacji z którym jest związane określone prawo albo który ze względu na zawartą w nim treść stanowi dowód prawa, stosunku prawnego lub okoliczności mającej znaczenie prawne.

Elektroniczna Skrzynka Podawcza

ROZPORZĄDZENIE PREZESA RADY MINISTRÓW z 29 WRZEŚNIA 2005r. W sprawie warunków organizacyjno-technicznych doręczania dokumentów elektronicznych podmiotom publicznym

Zgodnie z § 2 pkt. 1 rozporządzenia, elektroniczna skrzynka podawcza jest to dostępny publicznie środek komunikacji elektronicznej służący do przekazywania informacji w formie elektronicznej do podmiotu publicznego przy wykorzystaniu powszechnie dostępnej sieci teleinformatycznej.
Z pomocą Elektronicznej Skrzynki Podawczej osoby posiadające bezpieczny podpis elektroniczny (weryfikowany za pomocą ważnego kwalifikowanego certyfikatu) mogą wnieść pismo w wytypowanej sprawie bez konieczności osobistego stawiennictwa w urzędzie, o ile przepisy obowiązującego prawa nie stanowią inaczej.

Podmioty publiczne przyjmują doręczane dokumenty elektroniczne za pośrednictwem elektronicznej skrzynki podawczej, albo na informatycznych nośnikach danych, które umożliwiają zapisanie urzędowego poświadczenia odbioru Doręczanie dokumentu elektronicznego za pośrednictwem elektronicznej skrzynki podawczej dokonuje się przez: 1) Wprowadzenie odebranego dokumentu elektronicznego do systemu teleinformatycznego podmiotu publicznego będącego adresatem tego dokumentu • wysyłając mail z załączonym podpisanym dokumentem (np. za pomocą programu pocztowego); • wysyłając podpisany eFormularz (za pomocą strony internetowej Elektronicznej Skrzynki Podawczej), • poprzez upload pliku przez WWW (za pomocą strony internetowej Elektronicznej Skrzynki Podawczej),

2. Automatyczne wytworzenie przez system urzędowego poświadczenia odbioru Urzędowe poświadczenie odbioru- są to dane elektroniczne dołączone do dokumentu elektronicznego doręczonego podmiotowi publicznemu lub połączone z tym dokumentem w taki sposób, że jakakolwiek późniejsza zmiana dokonana w tym dokumencie jest rozpoznawalna. Urzędowe Poświadczenie odbioru określa: 1) Pełną nazwę podmiotu publicznego, któremu doręczono dokument elektroniczny 2) Datę i czas doręczenia dokumentu elektronicznego, rozumiane jako data i czas wprowadzenia albo przeniesienia dokumentu elektronicznego do systemu teleinformatycznego podmiotu publicznego 3) Datę i czas wytworzenia urzędowego poświadczenia odbioru

PODPIS ELEKTRONICZNY

• Podpis elektroniczny – pojęcie zdefiniowane w ustawie z dnia 18 września 2001 r. o podpisie elektronicznym Zgodnie z art. 3 pkt 1 ustawy podpis elektroniczny stanowią dane w postaci elektronicznej, które wraz z innymi danymi, do których zostały dołączone lub z którymi są logicznie powiązane, służą do identyfikacji osoby składającej podpis elektroniczny.

Rodzaje podpisów elektronicznych 1)Podpis skanowany 2)Podpis klawiaturowy 3)Podpis manualny 4)Podpis PIN-owy 5)Podpis hasłowy 6)Podpis e-mailowy 7)Podpis biometryczny 8)Podpis kryptograficzny

Podpis elektroniczny będzie mógł być uznany za równoważny podpisowi własnoręcznemu jeśli spełnia warunki umożliwiające uznanie go za podpis elektroniczny bezpieczny. Zgodnie z ustawą bezpieczny podpis elektroniczny to podpis elektroniczny, który: • jest przyporządkowany wyłącznie do osoby składającej ten podpis, • jest sporządzany za pomocą podlegających wyłącznej kontroli osoby składającej podpis elektroniczny bezpiecznych urządzeń służących do składania podpisu elektronicznego i danych służących do składania podpisu elektronicznego, • jest powiązany z danymi, do których został dołączony, w taki sposób, że jakakolwiek późniejsza zmiana tych danych jest rozpoznawalna

Skutki prawne związane ze złożeniem oświadczenia woli opatrzonego bezpiecznym podpisem elektronicznym weryfikowanym przy pomocy ważnego kwalifikowanego certyfikatu określa art. 78 § 2 kodeksu cywilnego. Zgodnie z tym przepisem oświadczenie woli podpisane takim podpisem ma takie same skutki prawne, jak oświadczenie woli podpisane podpisem własnoręcznym. Certyfikat kwalifikowany to taki, który został wystawiony jego właścicielowi z zastosowaniem odpowiednich procedur weryfikacji tożsamości i jest przechowywany w sposób bezpieczny (np. na karcie elektronicznej).

• rejestr publiczny - rejestr, ewidencję, wykaz, listę, spis albo inną formę ewidencji, służące do realizacji zadań publicznych, prowadzone przez podmiot publiczny na podstawie odrębnych przepisów ustawowych;

• projekt informatyczny o publicznym zastosowaniu określony w dokumentacji zespół czynności organizacyjnych i technicznych mających na celu zbudowanie, rozbudowanie lub unowocześnienie systemu teleinformatycznego używanego do realizacji zadań publicznych, świadczenie usług dotyczących utrzymania tego systemu lub opracowanie procedur realizowania zadań publicznych drogą elektroniczną;

ponadsektorowy projekt informatyczny - projekt informatyczny o publicznym zastosowaniu, którego zakres przedmiotowy dotyczy spraw należących do właściwości więcej niż jednego działu administracji rządowej;

sektorowy projekt informatyczny - projekt informatyczny o publicznym zastosowaniu, którego zakres przedmiotowy dotyczy spraw należących do właściwości jednego działu administracji rządowej;