Dane wrażliwe: Różnice pomiędzy wersjami
Z Encyklopedia Zarządzania
m (Dodanie MetaData Description) |
m (cleanup bibliografii i rotten links) |
||
| Linia 13: | Linia 13: | ||
</ul> | </ul> | ||
}} | }} | ||
'''[[Dane]] wrażliwe (sensytywne)''' - szczególna [[kategoria]] danych osobistych, które wymaga znacznie większej ochrony. | '''[[Dane]] wrażliwe (sensytywne)''' - szczególna [[kategoria]] danych osobistych, które wymaga znacznie większej ochrony. | ||
| Linia 36: | Linia 34: | ||
Wg Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. danymi wrażliwymi są: | Wg Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. danymi wrażliwymi są: | ||
* "pochodzenie rasowe lub etniczne, | * "pochodzenie rasowe lub etniczne, | ||
* poglądy polityczne, | * poglądy polityczne, | ||
* przekonania religijne lub światopoglądowe, | * przekonania religijne lub światopoglądowe, | ||
* przynależność do związków zawodowych | * przynależność do związków zawodowych | ||
* przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej | * przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej | ||
* dane dotyczące zdrowia, | * dane dotyczące zdrowia, | ||
* dane dotyczące seksualności lub orientacji seksualnej danej osoby." <ref>[[Rozporządzenie]] Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. art. 9 ust. 1</ref> | * dane dotyczące seksualności lub orientacji seksualnej danej osoby." <ref>[[Rozporządzenie]] Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. art. 9 ust. 1</ref> | ||
Ponadto wg ust. 2 tejże ustawy zostały ujęte odstępstwa: | Ponadto wg ust. 2 tejże ustawy zostały ujęte odstępstwa: | ||
"2. Ust. 1 nie ma zastosowania, jeżeli spełniony jest jeden z poniższych warunków: | "2. Ust. 1 nie ma zastosowania, jeżeli spełniony jest jeden z poniższych warunków: | ||
* osoba, której dane dotyczą, wyraziła wyraźną zgodę na przetwarzanie tych danych osobowych w jednym lub kilku konkretnych celach, chyba że [[prawo]] Unii lub prawo państwa członkowskiego przewidują, iż osoba, której dane dotyczą, nie może uchylić zakazu, o którym mowa w ust. 1; | * osoba, której dane dotyczą, wyraziła wyraźną zgodę na przetwarzanie tych danych osobowych w jednym lub kilku konkretnych celach, chyba że [[prawo]] Unii lub prawo państwa członkowskiego przewidują, iż osoba, której dane dotyczą, nie może uchylić zakazu, o którym mowa w ust. 1; | ||
* przetwarzanie jest niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora lub osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej, o ile jest to dozwolone prawem Unii lub prawem państwa członkowskiego, lub porozumieniem zbiorowym na mocy prawa państwa członkowskiego przewidującymi odpowiednie zabezpieczenia praw podstawowych i interesów osoby, której dane dotyczą; | * przetwarzanie jest niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora lub osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej, o ile jest to dozwolone prawem Unii lub prawem państwa członkowskiego, lub porozumieniem zbiorowym na mocy prawa państwa członkowskiego przewidującymi odpowiednie zabezpieczenia praw podstawowych i interesów osoby, której dane dotyczą; | ||
* przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej, a osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody; | * przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej, a osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody; | ||
* przetwarzania dokonuje się w ramach uprawnionej działalności prowadzonej z zachowaniem odpowiednich zabezpieczeń przez fundację, [[stowarzyszenie]] lub inny niezarobkowy podmiot o celach politycznych, światopoglądowych, religijnych lub związkowych, pod warunkiem że przetwarzanie dotyczy wyłącznie członków lub byłych członków tego podmiotu lub osób utrzymujących z nim stałe kontakty w związku z jego celami oraz że dane osobowe nie są ujawniane poza tym podmiotem bez zgody osób, których dane dotyczą; | * przetwarzania dokonuje się w ramach uprawnionej działalności prowadzonej z zachowaniem odpowiednich zabezpieczeń przez fundację, [[stowarzyszenie]] lub inny niezarobkowy podmiot o celach politycznych, światopoglądowych, religijnych lub związkowych, pod warunkiem że przetwarzanie dotyczy wyłącznie członków lub byłych członków tego podmiotu lub osób utrzymujących z nim stałe kontakty w związku z jego celami oraz że dane osobowe nie są ujawniane poza tym podmiotem bez zgody osób, których dane dotyczą; | ||
* przetwarzanie dotyczy danych osobowych w sposób oczywisty upublicznionych przez osobę, której dane dotyczą; | * przetwarzanie dotyczy danych osobowych w sposób oczywisty upublicznionych przez osobę, której dane dotyczą; | ||
* przetwarzanie jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń lub w ramach sprawowania wymiaru sprawiedliwości przez sądy; | * przetwarzanie jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń lub w ramach sprawowania wymiaru sprawiedliwości przez sądy; | ||
* przetwarzanie jest niezbędne ze względów związanych z ważnym interesem publicznym, na podstawie prawa Unii lub prawa państwa członkowskiego, które są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych i przewidują odpowiednie i konkretne środki ochrony praw podstawowych i interesów osoby, której dane dotyczą; | * przetwarzanie jest niezbędne ze względów związanych z ważnym interesem publicznym, na podstawie prawa Unii lub prawa państwa członkowskiego, które są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych i przewidują odpowiednie i konkretne środki ochrony praw podstawowych i interesów osoby, której dane dotyczą; | ||
* przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny [[zdolności]] pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego na podstawie prawa Unii lub prawa państwa członkowskiego lub zgodnie z umową z pracownikiem służby zdrowia i z zastrzeżeniem warunków i zabezpieczeń, o których mowa w ust. 3; | * przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny [[zdolności]] pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego na podstawie prawa Unii lub prawa państwa członkowskiego lub zgodnie z umową z pracownikiem służby zdrowia i z zastrzeżeniem warunków i zabezpieczeń, o których mowa w ust. 3; | ||
* przetwarzanie jest niezbędne ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego, takich jak ochrona przed poważnymi transgranicznymi zagrożeniami zdrowotnymi lub zapewnienie wysokich standardów jakości i bezpieczeństwa opieki zdrowotnej oraz produktów leczniczych lub wyrobów medycznych, na podstawie prawa Unii lub prawa państwa członkowskiego, które przewidują odpowiednie, konkretne środki ochrony praw i wolności osoób, których dane dotyczą, w szczególności tajemnicę zawodową, | * przetwarzanie jest niezbędne ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego, takich jak ochrona przed poważnymi transgranicznymi zagrożeniami zdrowotnymi lub zapewnienie wysokich standardów jakości i bezpieczeństwa opieki zdrowotnej oraz produktów leczniczych lub wyrobów medycznych, na podstawie prawa Unii lub prawa państwa członkowskiego, które przewidują odpowiednie, konkretne środki ochrony praw i wolności osoób, których dane dotyczą, w szczególności tajemnicę zawodową, | ||
* przetwarzanie jest niezbędne do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych zgodnie z art. 89 ust. 1, na podstawie prawa Unii lub prawa państwa członkowskiego, które są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych i przewidują odpowiednie, konkretne środki ochrony praw podstawowych i interesów osoby, której dane dotyczą." <ref>Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. art. 9 ust. 2</ref> | * przetwarzanie jest niezbędne do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych zgodnie z art. 89 ust. 1, na podstawie prawa Unii lub prawa państwa członkowskiego, które są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych i przewidują odpowiednie, konkretne środki ochrony praw podstawowych i interesów osoby, której dane dotyczą." <ref>Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. art. 9 ust. 2</ref> | ||
| Linia 63: | Linia 61: | ||
==Bezpieczeństwo danych w sieci== | ==Bezpieczeństwo danych w sieci== | ||
Utrzymanie wysokiego poziomu bezpieczeństwa danych w sieciach komputerowych jest bardzo trudnym zadaniem. Budując systemy ochrony informatycy muszą uwzględnić wszystkie możliwe [[zagrożenia]], biorąc pod uwagę nielegalna działalność lokalnych pracowników organizacji. | Utrzymanie wysokiego poziomu bezpieczeństwa danych w sieciach komputerowych jest bardzo trudnym zadaniem. Budując systemy ochrony informatycy muszą uwzględnić wszystkie możliwe [[zagrożenia]], biorąc pod uwagę nielegalna działalność lokalnych pracowników organizacji. | ||
W ramach systemu ochrony możemy wyszczególnić wiele rodzajów zabezpieczeń. Zalicza się do nich między innymi [[system]] zaporowy FIREWALL, programy antywirusowe lub karty uwierzytelniające [[tożsamość]] użytkowników. Z technicznej strony system zabezpieczeń danych w sieciach powinien zawierać wiele różnych, nawzajem się zabezpieczających i uzupełniających elementów. | W ramach systemu ochrony możemy wyszczególnić wiele rodzajów zabezpieczeń. Zalicza się do nich między innymi [[system]] zaporowy FIREWALL, programy antywirusowe lub karty uwierzytelniające [[tożsamość]] użytkowników. Z technicznej strony system zabezpieczeń danych w sieciach powinien zawierać wiele różnych, nawzajem się zabezpieczających i uzupełniających elementów. | ||
| Linia 84: | Linia 82: | ||
* utrata dostępności usług systemu i informacji, | * utrata dostępności usług systemu i informacji, | ||
* podszywanie się pod innego użytkownika." <ref>M. Stawowski (1998) str. 24</ref> | * podszywanie się pod innego użytkownika." <ref>M. Stawowski (1998) str. 24</ref> | ||
==Przypisy== | |||
<references /> | |||
==Bibliografia== | ==Bibliografia== | ||
* Kamiński M. (2007). [http://www.bibliotekacyfrowa.pl/Content/22520/Powierzenie_przetwarzania_osobowych_danych.pdf ''Powierzenie przetwarzania osobowych danych medycznych a perspektywy prowadzenie dokumentacji medycznej w postaci elektronicznej''] e-BULETYN 3/2007 | <noautolinks> | ||
* Polok M. (2008). '' | * Kamiński M. (2007). [http://www.bibliotekacyfrowa.pl/Content/22520/Powierzenie_przetwarzania_osobowych_danych.pdf ''Powierzenie przetwarzania osobowych danych medycznych a perspektywy prowadzenie dokumentacji medycznej w postaci elektronicznej''] e-BULETYN 3/2007 | ||
* | * Polok M. (2008). ''Bezpieczeństwo danych osobowych'', Wydawnictwo C. H. BECK, Warszawa | ||
* ''Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r.'' | |||
* Stawowski M. (1998). ''Ochrona informacji w sieciach komputerowych'', ArsKom, Warszawa | * Stawowski M. (1998). ''Ochrona informacji w sieciach komputerowych'', ArsKom, Warszawa | ||
* Susło R., Świątek B. (2005) | * Susło R., Świątek B. (2005) ''Ochrona danych medycznych a opiniowanie sądowo-lekarskie'', Arch. Med. Sąd. Krym., LV, 314-318 | ||
* | * ''Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych'' | ||
* Waglowski P. (2009). [https://www.web.gov.pl/g2/big/2009_12/f9bd6afc4332ed9235eeb3f832259cf2.pdf ''Ochrona dóbr osobistych i danych osobowych''], Polska Agencja Rozwoju Przedsiębiorczości | * Waglowski P. (2009). [https://www.web.gov.pl/g2/big/2009_12/f9bd6afc4332ed9235eeb3f832259cf2.pdf ''Ochrona dóbr osobistych i danych osobowych''], Polska Agencja Rozwoju Przedsiębiorczości | ||
</noautolinks> | |||
< | |||
{{a|Klaudia Niziołek}} | {{a|Klaudia Niziołek}} | ||
Wersja z 13:45, 26 paź 2023
| Dane wrażliwe |
|---|
| Polecane artykuły |
Dane wrażliwe (sensytywne) - szczególna kategoria danych osobistych, które wymaga znacznie większej ochrony.
TL;DR
Artykuł omawia definicję danych wrażliwych oraz polskie prawo i Rozporządzenie RODO dotyczące ich przetwarzania. Przedstawia również możliwe kary za łamanie przepisów o ochronie danych osobowych. Ponadto, artykuł omawia zagrożenia dla bezpieczeństwa danych w sieciach komputerowych i przedstawia przykładowe środki ochronne.
Polskie prawo a dane wrażliwe
Polskie przepisy zabraniają przetwarzania danych dotyczących:
- pochodzenia rasowego lub etnicznego,
- poglądów politycznych,
- przekonań religijnych lub filozoficznych,
- przynależności wyznaniowej, partyjnej lub związkowej,
- stanu zdrowia, kodu genetycznego, nałogów
- życia seksualnego,
- skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydawanych w postępowaniu sądowym lub administracyjnym. [1]
Rozporządzenie RODO a dane wrażliwe
Wg Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. danymi wrażliwymi są:
- "pochodzenie rasowe lub etniczne,
- poglądy polityczne,
- przekonania religijne lub światopoglądowe,
- przynależność do związków zawodowych
- przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej
- dane dotyczące zdrowia,
- dane dotyczące seksualności lub orientacji seksualnej danej osoby." [2]
Ponadto wg ust. 2 tejże ustawy zostały ujęte odstępstwa: "2. Ust. 1 nie ma zastosowania, jeżeli spełniony jest jeden z poniższych warunków:
- osoba, której dane dotyczą, wyraziła wyraźną zgodę na przetwarzanie tych danych osobowych w jednym lub kilku konkretnych celach, chyba że prawo Unii lub prawo państwa członkowskiego przewidują, iż osoba, której dane dotyczą, nie może uchylić zakazu, o którym mowa w ust. 1;
- przetwarzanie jest niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora lub osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej, o ile jest to dozwolone prawem Unii lub prawem państwa członkowskiego, lub porozumieniem zbiorowym na mocy prawa państwa członkowskiego przewidującymi odpowiednie zabezpieczenia praw podstawowych i interesów osoby, której dane dotyczą;
- przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej, a osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody;
- przetwarzania dokonuje się w ramach uprawnionej działalności prowadzonej z zachowaniem odpowiednich zabezpieczeń przez fundację, stowarzyszenie lub inny niezarobkowy podmiot o celach politycznych, światopoglądowych, religijnych lub związkowych, pod warunkiem że przetwarzanie dotyczy wyłącznie członków lub byłych członków tego podmiotu lub osób utrzymujących z nim stałe kontakty w związku z jego celami oraz że dane osobowe nie są ujawniane poza tym podmiotem bez zgody osób, których dane dotyczą;
- przetwarzanie dotyczy danych osobowych w sposób oczywisty upublicznionych przez osobę, której dane dotyczą;
- przetwarzanie jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń lub w ramach sprawowania wymiaru sprawiedliwości przez sądy;
- przetwarzanie jest niezbędne ze względów związanych z ważnym interesem publicznym, na podstawie prawa Unii lub prawa państwa członkowskiego, które są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych i przewidują odpowiednie i konkretne środki ochrony praw podstawowych i interesów osoby, której dane dotyczą;
- przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego na podstawie prawa Unii lub prawa państwa członkowskiego lub zgodnie z umową z pracownikiem służby zdrowia i z zastrzeżeniem warunków i zabezpieczeń, o których mowa w ust. 3;
- przetwarzanie jest niezbędne ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego, takich jak ochrona przed poważnymi transgranicznymi zagrożeniami zdrowotnymi lub zapewnienie wysokich standardów jakości i bezpieczeństwa opieki zdrowotnej oraz produktów leczniczych lub wyrobów medycznych, na podstawie prawa Unii lub prawa państwa członkowskiego, które przewidują odpowiednie, konkretne środki ochrony praw i wolności osoób, których dane dotyczą, w szczególności tajemnicę zawodową,
- przetwarzanie jest niezbędne do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych zgodnie z art. 89 ust. 1, na podstawie prawa Unii lub prawa państwa członkowskiego, które są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych i przewidują odpowiednie, konkretne środki ochrony praw podstawowych i interesów osoby, której dane dotyczą." [3]
Kary za niestosowanie się do prawa
Za niestosowanie się do Ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych grożą kary pieniężne oraz odpowiedzialność karna. Kara pieniężna może wynosić nawet 10 000 złotych, jednakże ze względu na ważny powód jednostki może zostać rozłożona na raty, a także mieć odroczony termin płatności.[4]
Bezpieczeństwo danych w sieci
Utrzymanie wysokiego poziomu bezpieczeństwa danych w sieciach komputerowych jest bardzo trudnym zadaniem. Budując systemy ochrony informatycy muszą uwzględnić wszystkie możliwe zagrożenia, biorąc pod uwagę nielegalna działalność lokalnych pracowników organizacji.
W ramach systemu ochrony możemy wyszczególnić wiele rodzajów zabezpieczeń. Zalicza się do nich między innymi system zaporowy FIREWALL, programy antywirusowe lub karty uwierzytelniające tożsamość użytkowników. Z technicznej strony system zabezpieczeń danych w sieciach powinien zawierać wiele różnych, nawzajem się zabezpieczających i uzupełniających elementów.
Umowna struktura systemu ochrony wygląda następująco:
- "warstwa ochrony danych przesyłanych w sieci publicznej,
- warstwa ochrony sieci komputerowej z zewnątrz,
- warstwa ochrony danych przesyłanych w sieci prywatnej,
- warstwa ochrony sieci komputerowej od wewnątrz,
- warstwa ochrony systemu operacyjnego,
- warstwa ochrony aplikacji użytkowych." [5]
Zagrożenia danych w sieci komputerowej
Dane wrażliwe zazwyczaj przechowywane są w bazach danych, które są podatne na wiele zagrożeń m. in:
- "włamania do systemu,
- utrata poufności danych,
- utrata integralności informacji,
- utrata autentyczności informacji,
- utrata dostępności usług systemu i informacji,
- podszywanie się pod innego użytkownika." [6]
Przypisy
- ↑ M. Polok (2008) str. 92
- ↑ Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. art. 9 ust. 1
- ↑ Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. art. 9 ust. 2
- ↑ Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych art. 1
- ↑ M. Stawowski (1998) str. 14-15
- ↑ M. Stawowski (1998) str. 24
Bibliografia
- Kamiński M. (2007). Powierzenie przetwarzania osobowych danych medycznych a perspektywy prowadzenie dokumentacji medycznej w postaci elektronicznej e-BULETYN 3/2007
- Polok M. (2008). Bezpieczeństwo danych osobowych, Wydawnictwo C. H. BECK, Warszawa
- Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r.
- Stawowski M. (1998). Ochrona informacji w sieciach komputerowych, ArsKom, Warszawa
- Susło R., Świątek B. (2005) Ochrona danych medycznych a opiniowanie sądowo-lekarskie, Arch. Med. Sąd. Krym., LV, 314-318
- Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych
- Waglowski P. (2009). Ochrona dóbr osobistych i danych osobowych, Polska Agencja Rozwoju Przedsiębiorczości
Autor: Klaudia Niziołek
 |
Treść tego artykułu została oparta na aktach prawnych. Zwróć uwagę, że niektóre akty prawne mogły ulec zmianie od czasu publikacji tego tekstu. |
