Podstawy ochrony danych osobowych

Podstawa programowa

Podstawa programowa 

Wiedza o społeczeństwie – zakres podstawowy

Cele kształcenia:

I. Wykorzystanie i tworzenie informacji.

Uczeń znajduje i wykorzystuje informacje na temat sposobu, w jaki prawo reguluje życie obywateli.

II. Rozpoznawanie i rozwiązywanie problemów.

Uczeń rozpoznaje prawne aspekty codziennych problemów życiowych i szuka ich rozwiązania.

III. Współdziałanie w sprawach publicznych.

Uczeń sprawnie korzysta z procedur i możliwości, jakie stwarzają obywatelom instytucje życia publicznego.

VI. Znajomość praw człowieka i sposobów ich ochrony.

Uczeń wyjaśnia podstawowe prawa człowieka, rozpoznaje przypadki ich naruszania i wie, jak można je chronić.

Treści nauczania:

5. Prawa człowieka. Uczeń:

2) wymienia podstawowe prawa i wolności człowieka; wyjaśnia, co oznacza, że są one powszechne, przyrodzone i niezbywalne;

6) wyjaśnia, na czym polegają: prawo do prywatności, w tym do ochrony danych osobowych i prawa obywatela w kontaktach z mediami.

Wiedza o społeczeństwie – zakres rozszerzony

Cele kształcenia:

V. Znajomość podstaw ustroju Rzeczypospolitej Polskiej.

Uczeń (…) rozumie znaczenie prawa i praw człowieka w codziennym życiu obywatela oraz rozpoznaje przypadki ich łamania.

Treści nauczania:

37. Ochrona praw człowieka w Polsce. Uczeń:

1) przedstawia prawa i wolności zagwarantowane w Konstytucji Rzeczypospolitej Polskiej, wymienia środki i mechanizmy ich ochrony w Polsce.

Informatyka – zakres podstawowy

Treści nauczania:

7. Wykorzystywanie komputera i technologii informacyjno-komunikacyjnych do rozwijania zainteresowań, opisywanie zastosowań informatyki, ocena zagrożeń i ograniczeń, aspekty społeczne rozwoju i zastosowań informatyki. Uczeń:

2) omawia normy prawne odnoszące się do stosowania technologii informacyjno-komunikacyjnych, dotyczące m.in. rozpowszechniania programów komputerowych, przestępczości komputerowej, poufności, bezpieczeństwa i ochrony danych oraz informacji w komputerze i w sieciach komputerowych.

Informatyka – zakres rozszerzony

Treści nauczania:

7. Uczeń wykorzystuje komputer i technologie informacyjno-komunikacyjne do rozwijania swoich zainteresowań, opisuje zastosowania informatyki, ocenia zagrożenia i ograniczenia, docenia aspekty społeczne rozwoju i zastosowań informatyki:

3) stosuje normy etyczne i prawne związane z rozpowszechnianiem programów komputerowych, bezpieczeństwem i ochroną danych oraz informacji w komputerze i w sieciach komputerowych.

Pozostałe informacje
Eksperci/Ekspertki 
Wojciech Klicki, Małgorzata Szumańska
Autor/Autorka wiedzy w pigułce 
Anna Obem
Autor/Autorka scenariusza 
Izabela Meyza
Organizacja publikująca 
Fundacja Panoptykon
Licencja 
Creative Commons Uznanie autorstwa – Na tych samych warunkach 3.0 Polska
Ściągnij lekcję w formacie PDF 
Ściągnij lekcję w formacie edytowalnym 
Temat 

Wiedza w pigułce

Prawo do ochrony prywatności – jedno z podstawowych praw człowieka – ma kilka aspektów. Jednym z nich jest ochrona danych osobowych. Koncepcja ta narodziła się w Europie w latach 70. XX w., kiedy zaczęto rozwijać nowe możliwości automatycznego przetwarzania informacji. W polskim prawie ochrona danych osobowych pojawiła się dopiero po transformacji ustrojowej. Konstytucja RP z 1997 r. gwarantuje prawo do prywatności i autonomii informacyjnej. Ukonkretnia je ustawa o ochronie danych osobowych (z tego samego roku) oparta na rozwiązaniach przyjętych w Unii Europejskiej. Na jej podstawie utworzono instytucję Generalnego Inspektora Ochrony Danych Osobowych (GIODO), który rozpatruje skargi obywateli, opiniuje akty prawne, sygnalizuje potrzebę zmian prawa i prowadzi akcje edukacyjne dotyczące ochrony danych osobowych. GIODO jest powoływany przez Sejm za zgodą Senatu na 4-letnią kadencję.

Zgodnie z obowiązującym prawem dane osobowe to wszelkie informacje dotyczące konkretnej osoby – zidentyfikowanej (np. takiej, którą znamy bezpośrednio) lub możliwej do zidentyfikowania (czyli takiej, którą można wskazać na podstawie posiadanych informacji, choćby numeru identyfikacyjnego, wyglądu lub jakiejkolwiek kombinacji cech, np. ruda dziewczynka, która ma zielony plecak i chodzi do konkretnej szkoły i klasy). Nie mamy do czynienia z danymi osobowymi wówczas, gdy informacja dotyczy instytucji (np. firmy), grupy osób, osoby zmarłej lub fikcyjnej (np. postaci literackiej). Daną osobową może być każda informacja, nie tylko imię i nazwisko, ale też np. kolor oczu określonej osoby; choroba, na którą cierpi; informacja, jakie strony internetowe odwiedza czy jakie ma oceny z chemii. To, czy jakaś informacja jest daną osobową, zależy od kontekstu. Tablice rejestracyjne dla policji są daną osobową, bo policja bez trudu może w bazie danych zweryfikować, kto jest właścicielem samochodu, ale dla innego kierowcy, który nie ma takiej możliwości – już nie.

Podstawy ochrony danych osobowych (ilustracja)

Według ustawy o ochronie danych osobowych „przetwarzanie danych” to wszystkie działania dotyczące danych osobowych: zbieranie, przechowywanie, udostępnianie, a nawet ich usuwanie. Podmiot, który decyduje o tym, że dane są przetwarzane i w jaki sposób się to odbywa, jest nazywany administratorem danych. On ponosi odpowiedzialność za to, by przetwarzanie danych odbywało się zgodnie z prawem i było odpowiednio zabezpieczone.

Dane osobowe podlegają ochronie, co oznacza, że podmioty, które chcą je przetwarzać (i firmy, i publiczne instytucje), powinny spełnić określone warunki. Szczególnie chronione są tzw. dane wrażliwe, czyli dane dotyczące m.in. pochodzenia, poglądów politycznych, wyznania, stanu zdrowia czy karalności. Nikt – ani pracownik firmy, ani urzędnik państwowy, ani policjant – nie może przetwarzać naszych danych bez podstawy prawnej. Ustawa wskazuje konkretne sytuacje, w których jest to uprawnione. Najczęściej wykorzystywane to:

  • zgoda osoby, której dane dotyczą (musi być dobrowolna; w drobnych, codziennych sprawach mogą ją wyrażać osoby powyżej 13 roku życia; w innych przypadkach ― tylko osoby dorosłe);
  • przepis prawa (np. szkoła ma prawo przetwarzać dane uczniów w celach związanych z kształceniem);
  • fakt, że dane są niezbędne do wykonania umowy (np. adres wysyłki w przypadku zakupów w sklepie internetowym).

Zgoda na przetwarzanie danych osobowych powinna dotyczyć konkretnego administratora danych i konkretnego celu. Żeby przetwarzać dane w innym celu, trzeba uzyskać osobną zgodę. Na przykład, jeśli wyrazisz zgodę na przetwarzanie swoich danych w ramach udziału w konkretnym konkursie – organizator nie ma prawa wykorzystać informacji ze zgłoszenia w kolejnej edycji. Nie może też przekazać danych innemu podmiotowi, który np. chciałby wysyłać katalogi reklamowe (chyba że wyrazisz zgodę również na to).

Każdej osobie, której dane są przetwarzane, przysługują w związku z tym konkretne uprawnienia:

  • prawo do informacji o tym, skąd dany podmiot pozyskał dane i w jakim celu je przetwarza, np. jeśli dzwoni do Ciebie telemarketer, możesz oczekiwać informacji, skąd ma Twój numer telefonu, jaki podmiot i w jakim celu go wykorzystuje;
  • prawo do wycofania zgody, jeśli po pewnym czasie zmieniłeś/-aś zdanie, np. jeśli podałeś/-aś swój adres e-mail organizacji, ale nie chcesz już otrzymywać jej newslettera, możesz napisać do niej, by zaprzestała przetwarzać Twoje dane;
  • prawo do uzupełnienia, uaktualnienia i sprostowania danych – jeśli Twoje dane się zmieniły lub są niezgodne z prawdą, możesz je zaktualizować;
  • jeśli ktoś legalnie przetwarza Twoje dane, ale nie odbywa się to na podstawie żadnej z trzech podstaw prawnych wskazanych wyżej (a np. na podstawie usprawiedliwionego interesu administratora), możesz zgłosić sprzeciw i żądać zaprzestania przetwarzania danych.

Każdy może mieć wpływ na to, jakie informacje o nim są ujawniane i wykorzystywane. Podpowiadamy, na co warto zwrócić uwagę:

  1. Zanim skorzystasz z usługi, która wymaga podania Twoich danych, zapoznaj się z jej regulaminem, żeby dowiedzieć się, jak te informacje zostaną wykorzystane.
  2. Nie zawsze warto wyrażać zgodę na przetwarzanie danych osobowych – nie musisz zgadzać się na wszystko, co ktoś Ci sugeruje.
  3. Żeby skorzystać z wybranej usługi, musisz co prawda zaakceptować, że do jej realizacji niektóre dane będą niezbędne (np. adres e-mail, jeśli zamawiasz coś przez Internet), ale nie musisz zgadzać się na wysyłanie ofert reklamowych czy przekazywanie danych innym firmom.
  4. Jeśli ktoś żąda od Ciebie zbyt szerokiego zakresu danych i chce je wykorzystywać do niejasnych celów, najlepiej zrezygnuj z danej usługi. Jeśli korzystając z jakiejś usługi, nie musisz zakładać konta lub podawać swoich danych, nie rób tego.

W praktyce nasze dane są przetwarzane na każdym kroku i przez rozmaite podmioty. Obowiązujące prawo nie nadąża za zmianami, jaki w ostatnich latach dokonały się w technologii i biznesie. Szczególnie za nowymi modelami generowania zysku opartymi na przetwarzaniu danych na masową skalę i integrowaniu informacji z różnych źródeł. Dlatego nie w każdej sytuacji prawo skutecznie chroni dane osobowe. Co więcej, wiele podmiotów celowo bądź z niewiedzy nie przestrzega prawa. Co zrobić, jeśli ktoś przetwarza dane, chociaż nie ma do tego prawa (np. zalewa odbiorców niechcianymi ofertami handlowymi mimo sprzeciwu lub bez zgody przekazuje dane innym podmiotom)? Jest kilka możliwości:

  1. Jeśli Twoje prawa zostały naruszone, warto złożyć skargę do GIODO (jak to zrobić, dowiesz się ze strony giodo.gov.pl i z tej infografiki).
  2. Jeśli naruszenie ochrony danych spowodowało szkodę materialną lub krzywdę, można żądać odszkodowania lub zadośćuczynienia w sądzie cywilnym.
  3. Jeśli sprawa jest poważna, należy powiadomić policję.

Warto pamiętać, że wymogi wskazane w ustawie o ochronie danych osobowych nie dotyczą wszystkich sytuacji. Ustawa nie dotyczy np. osób prywatnych, które gromadzą informacje w celach osobistych lub domowych (np. nie trzeba spełniać jej wymogów, żeby zapisywać kontakty do przyjaciół i rodziny w telefonie).

Drugi ważny wyjątek dotyczy zagranicznych firm, które mają bazy danych ulokowane poza Polską. Wiele popularnych usług internetowych świadczą firmy z siedzibą w Stanach Zjednoczonych, które gromadzą dane na serwerach poza Europą. Dlatego ani polskie, ani europejskie prawo ich nie obowiązuje, a dane polskiego użytkownika amerykańskiej usługi – portalu społecznościowego (np. Facebook) czy poczty e-mail (np. Gmail) – nie są dostatecznie chronione. Systemowym rozwiązaniem tego problemu ma być nowe unijne rozporządzenie dotyczące ochrony danych, które ma objąć także firmy spoza Unii Europejskiej, jeśli świadczą usługi na unijnym rynku. Tymczasem austriacki aktywista Max Schrems (akcja Europe vs Facebook) na drodze sądowej próbuje zmusić tę amerykańską firmę do szanowania europejskiego prawa i odnosi na tym polu znaczące sukcesy.

Pomysł na lekcję

W czasie zajęć uczestnicy i uczestniczki poznają najważniejsze pojęcia związane z ochroną prywatności. Dowiedzą się także, jakie prawa w tym zakresie im przysługują i jak z nich korzystać.

Cele operacyjne

Uczestnicy i uczestniczki:

  • rozumieją pojęcia dotyczące ochrony prywatności (np. dane osobowe, przetwarzanie danych osobowych, zgoda na przetwarzanie danych osobowych);
  • wiedzą, jakie mają prawa w zakresie ochrony swoich danych w sieci;
  • potrafią chronić swoje dane i reagować na naruszenia.

Przebieg zajęć

1.

Zadaj pytanie:

  • Co to są dane osobowe?

Zbierz skojarzenia uczestników i poproś o wymienianie przykładów. Spisuj pomysły na tablicy.

Zauważ, że najczęściej za dane osobowe uważa się takie informacje, jak imię i nazwisko, adres czy PESEL, ale w rzeczywistości to znacznie szersze pojęcie.

Następnie przyklej na tablicy wydrukowaną definicję danych osobowych z karty pracy nr 1 i na podstawie „Wiedzy w pigułce” omów ją. Powiedz, że potencjalnie każda informacja o kimś może być jego daną osobową, jeżeli tylko dana osoba jest nam znana lub możemy ją zidentyfikować. Zwróć uwagę na to, że dane osobowe są kontekstowe: ta sama informacja może być daną osobową lub nie – w zależności od tego, kto i w jakich okolicznościach ma do niej dostęp. Na podstawie „Wiedzy w pigułce” wspomnij też o danych wrażliwych, które podlegają szczególnej ochronie.

Zapytaj:

  • Jakie informacje, z którymi spotykacie się na co dzień, w zależności od kontekstu mogą być lub nie być daną osobową?

Zbierz wypowiedzi uczestników. Jeżeli mają problem z odpowiedzią na pytanie, możesz zaproponować swoje przykłady: adres e-mail – jest daną, kiedy zawiera charakterystyczne imię i nazwisko lub kiedy patrzymy z perspektywy operatora poczty; tablica rejestracyjna samochodu – jest daną dla policji, a nie jest dla większości zwykłych użytkowników dróg.

2.

Zapytaj:

  • Przy jakich okazjach spotykacie się z pojęciem danych osobowych?
  • Czy spotkaliście się z pojęciem przetwarzania danych osobowych?

Na podstawie „Wiedzy w pigułce” powiedz, czym jest przetwarzanie danych osobowych. Powiedz, że polskie prawo chroni dane osobowe każdego z nas i dlatego ściśle określa, kiedy możliwe jest ich przetwarzanie. Na podstawie „Wiedzy w pigułce” opowiedz o trzech najczęściej wykorzystywanych podstawach prawnych przetwarzania danych (zgoda, przepis prawa, wykonanie umowy).

Powiedz, że w cyfrowym świecie często spotykamy się z udzielaniem zgody na przetwarzanie naszych danych. Zapytaj:

  • Czy ktoś z Was udzielił ostatnio zgody na przetwarzanie swoich danych osobowych? Komu i w jakich okolicznościach?
  • Jak rozumiecie konsekwencje udzielenia zgody? Co z przekazanymi w ten sposób danymi może się wydarzyć?
3.

Powiedz, że w następnym ćwiczeniu przyjrzymy się sytuacjom, w których firmy przetwarzają nasze dane osobowe i zastanowimy się, jaki to może mieć wpływ na nasze życie. 

Podziel uczestników na cztery grupy i rozdaj przypisane im instrukcje z karty pracy nr 2 „Jak chronić dane”. Po zakończeniu zadania poproś o przeczytanie odpowiedzi na forum.

Zapytaj:

  • Jakie mogą być konsekwencje udzielenia zgody na przetwarzanie danych osobowych?
  • Jak myślicie, dlaczego różnym podmiotom może zależeć na tym, żebyśmy podawali nasze dane?
  • Co może się stać z przekazanymi danymi?
4.

Nawiązując do poprzedniego ćwiczenia, na podstawie „Wiedzy w pigułce” opowiedz uczestnikom o ochronie danych osobowych w Polsce. Powiedz, że tym tematem zajmuje się Generalny Inspektor Ochrony Danych Osobowych (GIODO). Nasze dane chroni też polskie prawo – Konstytucja RP, prawo karne i cywilne oraz ustawa o ochronie danych osobowych. Gdy prawo jest łamane, możemy np. złożyć skargę do GIODO. Zauważ jednak, że ustawa o ochronie danych osobowych nie obowiązuje indywidualnych osób przetwarzających dane w celach osobistych lub domowych ani zagranicznych firm przetwarzających dane poza Polską.

Powiedz, że jeżeli nasze dane dostaną się do sieci, często nawet prawo pozostaje bezsilne. Dlatego ważne, żebyśmy nie udostępniali ich bezrefleksyjnie. Poproś uczestników o wymyślenie pięciu zasad, które można zastosować, żeby lepiej zabezpieczyć swoje dane w sieci (możesz ukierunkowywać, posiłkując się „Wiedzą w pigułce”). Zasady zapisuj w widocznym miejscu , a na koniec przeczytaj na głos.

Ewaluacja

Czy po przeprowadzeniu zajęć uczestnicy i uczestniczki:

  • potrafią powiedzieć, co jest daną osobową, a co nią nie jest?
  • wiedzą, kiedy ich dane osobowe mogą być przetwarzane?
  • wiedzą, jak mogą chronić swoje dane osobowe?

Opcje dodatkowe

Opcją dodatkową może być przeprowadzenie szkolnej kampanii uświadamiającej, czym są dane osobowe i jak można o nie dbać.

Innym pomysłem jest przećwiczenie w grupie różnych sposobów reagowania na łamanie prawa do prywatności. Odwołując się do przykładów z życia uczestników, można przećwiczyć reagowanie na niektóre sytuacje. Podziel uczestników na grupy i poproś o wykonanie zadań:

  1. Posiłkując się stroną internetową GIODO (giodo.gov.pl), przygotujcie skargę na portal internetowy, który bezprawnie wykorzystał zdjęcie oraz imię i nazwisko.
  2. Napiszcie list do administratora strony internetowej z prośbą o usunięcie lub poprawienie zamiesz­czonych na niej danych osobowych.
  3. Odegrajcie scenkę rozmowy z telemarketerem, w której rozmówca dowie się, skąd firma pozyskała jego dane (np. numer telefonu) i kto jest ich administratorem, a następnie cofnie zgodę na ich wykorzystywanie w celach marketingowych.

Na wykonanie ćwiczenia potrzebujesz 20-30 minut.

Materiały

Materiały pomocnicze „Podstawy ochrony danych osobowych” w wersji DOC (90 KB) | Materiały pomocnicze „Podstawy ochrony danych osobowych” w wersji PDF (134 KB) – zawartość:

  • Karta pracy nr 1 „Dane osobowe”
  • Karta pracy nr 2 „Jak chronić dane”

Zadania sprawdzające

Zadanie 1

Zdecyduj, które z poniższych danych to dane osobowe:

  1. Prawda Fałsz Tablica rejestracyjna samochodu dla kierowcy, który jedzie za nim.
  2. Prawda Fałsz Informacja o kolorze skóry jedynego czarnoskórego ucznia w szkole.
  3. Prawda Fałsz Ocena z egzaminu, wywieszona na szkolnej tablicy i przypisana do kodu, który zna tylko osoba zdająca egzamin i nauczyciel – dla innych uczniów.
  4. Prawda Fałsz Tablica rejestracyjna samochodu dla policji.

Słowniczek

Autonomia informacyjna
Ważny aspekt prywatności, prawo do samodzielnego decydowania o ujawnianiu informacji na swój temat oraz do kontrolowania informacji dotyczących własnej osoby, którymi dysponują inni.
Dane osobowe
Wszelkie informacje dotyczące określonej osoby fizycznej - fizycznej – zidentyfikowanej (np. takiej, którą znamy bezpośrednio) lub możliwej do zidentyfikowania (czyli takiej, którą można wskazać na podstawie posiadanych informacji). Nie mamy do czynienia z danymi osobowymi wówczas, gdy informacja dotyczy instytucji (np. firmy), grupy osób, osoby fikcyjnej (np. postaci literackiej) czy takiej, której nie jesteśmy w stanie rozpoznać. Dane osobowe podlegają ochronie i nie mogą być zbierane bez odpowiedniej podstawy prawnej (np. zgody osoby, której dotyczą).
Odszkodowanie
Rekompensata za wyrządzoną szkodę majątkową. Może dotyczyć szkody na mieniu (zniszczony przedmiot, utracony przewidywany zysk związany z jego wykorzystaniem) lub szkody na osobie (np. uszkodzenie ciała, rozstrój zdrowia). Odszkodowanie otrzymuje poszkodowany od tego, kto szkodę wyrządził lub ponosi za nią odpowiedzialność (np. rodzic ponosi odpowiedzialność za szkodę wyrządzoną przez dziecko). Rekompensata może przybrać formę pieniężną lub polegać na przywróceniu stanu istniejącego przed wyrządzeniem szkody.
Prywatność
Sfera życia człowieka, w którą nie należy wkraczać bez pozwolenia. Ma ona swój aspekt cielesny, terytorialny, informacyjny i komunikacyjny. Prywatność jest chroniona przez prawo (m.in. przez Konstytucję RP i akty prawa międzynarodowego). Ograniczenie prawa do prywatności możliwe jest tylko w określonych sytuacjach (na przykład ze względu na bezpieczeństwo publiczne czy ochronę zdrowia).
Przetwarzanie danych osobowych
Wykonywanie jakichkolwiek operacji na danych osobowych, takich jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, zwłaszcza gdy odbywa się w systemach informatycznych.
Zadośćuczynienie
Pieniężna rekompensata za niemajątkową krzywdę odczuwaną jako cierpienie fizyczne lub psychiczne. Zadośćuczynienie otrzymuje osoba poszkodowana od tego, kto wyrządził szkodę lub ponosi za nią odpowiedzialność (np. rodzic ponosi odpowiedzialność za krzywdę wyrządzoną przez dziecko).

Czytelnia