Podstawy ochrony danych osobowych

Podstawa programowa

Podstawa programowa 

Wiedza o społeczeństwie – zakres podstawowy

Cele kształcenia:

I. Wykorzystanie i tworzenie informacji. Uczeń (…) znajduje i wykorzystuje informacje na temat sposobu, w jaki prawo reguluje życie obywateli.

II. Rozpoznawanie i rozwiązywanie problemów. Uczeń (…) rozpoznaje prawne aspekty codziennych problemów życiowych i szuka ich rozwiązania.

III. Współdziałanie w sprawach publicznych. Uczeń (…) sprawnie korzysta z procedur i możliwości, jakie stwarzają obywatelom instytucje życia publicznego.

VI. Znajomość praw człowieka i sposobów ich ochrony. Uczeń (…) wyjaśnia podstawowe prawa człowieka, rozpoznaje przypadki ich naruszania i wie, jak można je chronić.

Treści nauczania:

5. Prawa człowieka. Uczeń:

2) wymienia podstawowe prawa i wolności człowieka; wyjaśnia, co oznacza, że są one powszechne, przyrodzone i niezbywalne;

6) wyjaśnia, na czym polegają: prawo do prywatności, w tym do ochrony danych osobowych i prawa obywatela w kontaktach z mediami.

Wiedza o społeczeństwie – zakres rozszerzony

Cele kształcenia:

V. Znajomość podstaw ustroju Rzeczypospolitej Polskiej. Uczeń (…) rozumie znaczenie prawa i praw człowieka w codziennym życiu obywatela oraz rozpoznaje przypadki ich łamania.

Treści nauczania:

37. Ochrona praw człowieka w Polsce. Uczeń:

1) przedstawia prawa i wolności zagwarantowane w Konstytucji Rzeczypospolitej Polskiej, wymienia środki i mechanizmy ich ochrony w Polsce.

Informatyka – zakres podstawowy

Treści nauczania:

7. Wykorzystywanie komputera i technologii informacyjno-komunikacyjnych do rozwijania zainteresowań, opisywanie zastosowań informatyki, ocena zagrożeń i ograniczeń, aspekty społeczne rozwoju i zastosowań informatyki. Uczeń:

2) omawia normy prawne odnoszące się do stosowania technologii informacyjno-komunikacyjnych, dotyczące m.in. rozpowszechniania programów komputerowych, przestępczości komputerowej, poufności, bezpieczeństwa i ochrony danych oraz informacji w komputerze i w sieciach komputerowych.

Informatyka – zakres rozszerzony

Treści nauczania:

7. Uczeń wykorzystuje komputer i technologie informacyjno-komunikacyjne do rozwijania swoich zainteresowań, opisuje zastosowania informatyki, ocenia zagrożenia i ograniczenia, docenia aspekty społeczne rozwoju i zastosowań informatyki:

3) stosuje normy etyczne i prawne związane z rozpowszechnianiem programów komputerowych, bezpieczeństwem i ochroną danych oraz informacji w komputerze i w sieciach komputerowych.

Wiedza o społeczeństwie – zakres podstawowy

Podstawa programowa dla szkół ponadpodstawowych obowiązująca od roku szkolnego 2019-20

Cele kształcenia – wymagania ogólne

I. Wiedza i rozumienie. Uczeń (…)wyjaśnia specyfikę praw i wolności człowieka oraz podstawowe mechanizmy ich ochrony.

III. Rozumienie siebie oraz rozpoznawanie i rozwiązywanie problemów. Uczeń (…) analizuje kwestię godności ludzkiej i przedstawia prawa, które mu przysługują, oraz mechanizmy ich dochodzenia.

IV. Komunikowanie i współdziałanie. Uczeń (…) korzysta z procedur i możliwości, jakie stwarzają obywatelom instytucje życia publicznego, w  tym instytucje prawne – sporządza proste  pisma do organów władz.

Pozostałe informacje
Eksperci/Ekspertki 
Wojciech Klicki, Małgorzata Szumańska, Karolina Iwańska
Autor/Autorka wiedzy w pigułce 
Anna Obem
Autor/Autorka scenariusza 
Izabela Meyza
Organizacja publikująca 
Fundacja Panoptykon
Licencja 
Creative Commons Uznanie autorstwa – Na tych samych warunkach 3.0 Polska
Ściągnij lekcję w formacie PDF 
Ściągnij lekcję w formacie edytowalnym 
Temat 

Wiedza w pigułce

Prawo do ochrony prywatności – jedno z podstawowych praw człowieka – ma kilka aspektów. Jednym z nich jest ochrona danych osobowych. Koncepcja ta narodziła się w Europie w latach 70. XX w., kiedy zaczęto rozwijać nowe możliwości automatycznego przetwarzania informacji. W polskim prawie ochrona danych osobowych pojawiła się dopiero po transformacji ustrojowej. Konstytucja RP z 1997 r. gwarantuje prawo do prywatności i autonomii informacyjnej. Ukonkretniono je w 1997 r. w ustawie o ochronie danych osobowych. Od tego czasu nastąpił gwałtowny rozwój nowych technologii, a dane osobowe zaczęły być przetwarzane na masową skalę w celach komercyjnych (chociaż nie tylko) do tego stopnia, że nazywa się je „ropą” albo „złotem” XXI w. Pojawiły się nowe wyzwania, np. profilowanie (kategoryzowanie) ludzi na podstawie ich cech i automatyczne podejmowanie decyzji.

Odpowiadając na te wyzwania, w 2016 r. Parlament Europejski przyjął nowe przepisy, które mają lepiej chronić prywatność Europejczyków. Rozporządzenie o ochronie danych osobowych (RODO) obowiązuje w całej Unii Europejskiej, a państwa członkowskie mają obowiązek je stosować bezpośrednio. W 2018 r. przyjęto też dostosowaną do RODO nową ustawę o ochronie danych osobowych, która reguluje m.in. działanie Prezesa Urzędu Ochrony Danych Osobowych (UODO), który zastąpił powołaną w 1997 r. instytucję Generalnego Inspektora Ochrony Danych Osobowych (GIODO). Prezes UODO: rozpatruje skargi obywateli, opiniuje akty prawne, sygnalizuje potrzebę zmian prawa i prowadzi akcje edukacyjne dotyczące ochrony danych osobowych. Nakłada też kary za naruszanie prawa ochrony danych osobowych. Jest powoływany przez Sejm za zgodą Senatu na 4-letnią kadencję.

Zgodnie z obowiązującym prawem dane osobowe to wszelkie informacje dotyczące konkretnej osoby – zidentyfikowanej (np. takiej, którą znamy bezpośrednio) lub możliwej do zidentyfikowania (czyli takiej, którą można wskazać na podstawie posiadanych informacji, choćby numeru identyfikacyjnego, wyglądu lub jakiejkolwiek kombinacji cech, np. ruda dziewczynka, która ma zielony plecak i chodzi do konkretnej szkoły i klasy). Nie mamy do czynienia z danymi osobowymi wówczas, gdy informacja dotyczy instytucji (np. firmy), grupy osób, osoby zmarłej lub fikcyjnej (np. postaci literackiej). Daną osobową może być każda informacja, nie tylko imię i nazwisko, ależ też np. kolor oczu określonej osoby; choroba, na którą cierpi; informacja, jakie strony internetowe odwiedza czy jakie ma oceny z chemii. To, czy jakaś informacja jest daną osobową, zależy od kontekstu. Tablice rejestracyjne dla policji są daną osobową, bo policja bez trudu może w bazie danych zweryfikować, kto jest właścicielem samochodu, ale dla innego kierowcy, który nie ma takiej możliwości – już nie.

Podstawy ochrony danych osobowych (ilustracja)

Według RODO „przetwarzanie danych” to wszystkie działania dotyczące danych osobowych: zbieranie, przechowywanie, udostępnianie, a nawet ich usuwanie. Podmiot, który decyduje o tym, że dane są przetwarzane i w jaki sposób się to odbywa, jest nazywany administratorem danych. On ponosi odpowiedzialność za to, by przetwarzanie danych odbywało się zgodnie z prawem i było odpowiednio zabezpieczone.

Dane osobowe podlegają ochronie, co oznacza, że podmioty, które chcą je przetwarzać (i firmy, i publiczne instytucje), powinny spełnić określone warunki. Szczególnie chronione są tzw. dane wrażliwe, czyli dane dotyczące m.in. pochodzenia, poglądów politycznych, wyznania, stanu zdrowia czy karalności. Nikt – ani pracownik firmy, ani urzędnik państwowy, ani policjant – nie może przetwarzać naszych danych bez podstawy przetwarzania. RODO wskazuje konkretne sytuacje, w których jest to uprawnione. Najczęściej wykorzystywane to:

  • przepis prawa (np. szkoła ma prawo przetwarzać dane uczniów w celach związanych z kształceniem),
  • fakt, że dane są niezbędne do wykonania umowy (np. adres wysyłki w przypadku zakupów w sklepie internetowym),
  • dobrowolna zgoda osoby, której dane dotyczą (w Polsce mogą ją wyrażać osoby powyżej 16 roku życia; w imieniu młodszych robią to opiekunowie prawni).

Zgoda na przetwarzanie danych osobowych powinna dotyczyć konkretnego administratora danych i konkretnego celu. Żeby przetwarzać dane w innym celu, trzeba uzyskać osobną zgodę. Na przykład: jeśli wyrazisz zgodę na przetwarzanie swoich danych w ramach udziału w konkretnym konkursie – organizator nie ma prawa wykorzystać informacji ze zgłoszenia w kolejnej edycji. Nie może też sprzedać danych innemu podmiotowi, który chciałby wykorzystywać dane w swoich celach, np. biuru podróży do wysyłki katalogów reklamowych (chyba że wyrazisz zgodę również na to).

Każdej osobie, której dane są przetwarzane, przysługują w związku z tym konkretne uprawnienia:

  • prawo do informacji o tym, skąd dany podmiot pozyskał dane i w jakim celu je przetwarza, np. jeśli dzwoni do Ciebie telemarketer, możesz oczekiwać informacji, skąd ma Twój numer telefonu, jaki podmiot i w jakim celu go wykorzystuje;
  • prawo do wycofania zgody, jeśli po pewnym czasie zmieniłeś/-aś zdanie, np. jeśli podałeś/-aś swój adres e-mail organizacji, ale nie chcesz już otrzymywać jej newslettera, możesz napisać do niej, by zaprzestała przetwarzać Twoje dane;
  • prawo do uzupełnienia, uaktualnienia i sprostowania danych – jeśli Twoje dane się zmieniły lub są niezgodne z prawdą, możesz je zaktualizować;
  • prawo do przeniesienia swoich danych (np. do innego usługodawcy);
  • prawo do usunięcia danych („prawo do bycia zapomnianym”);
  • jeśli ktoś legalnie przetwarza Twoje dane, ale nie odbywa się to na podstawie żadnej z trzech podstaw prawnych wskazanych wyżej (a np. na podstawie usprawiedliwionego interesu administratora), możesz zgłosić sprzeciw i żądać zaprzestania przetwarzania danych.

Od 2018 r. europejskie prawo ochrony danych osobowych obowiązuje wszystkie firmy, które dostarczają swoje usługi obywatelom Unii Europejskiej, nawet jeśli swoje siedziby (i serwery z danymi) mają ulokowane poza Unią Europejską (np. w USA).

Jednakże nawet najlepsze przepisy nie zadziałają, jeśli nie będziemy korzystać ze swoich praw. Podpowiadamy, na co warto zwrócić uwagę:

  1. Zanim skorzystasz z usługi, która wymaga podania Twoich danych, zapoznaj się z jej regulaminem, żeby dowiedzieć się, jak te informacje zostaną wykorzystane.
  2. Nie zawsze warto wyrażać zgodę na przetwarzanie danych osobowych – nie musisz zgadzać się na wszystko, co ktoś Ci sugeruje.
  3. Żeby skorzystać z wybranej usługi, musisz co prawda zaakceptować, że do jej realizacji niektóre dane będą niezbędne (np. adres e-mail, jeśli zamawiasz coś przez Internet), ale nie musisz zgadzać się na wysyłanie ofert reklamowych czy przekazywanie danych innym firmom.
  4. Jeśli ktoś żąda od Ciebie zbyt szerokiego zakresu danych i chce je wykorzystywać do niejasnych celów, najlepiej zrezygnuj z danej usługi. Jeśli korzystając z jakiejś usługi, nie musisz zakładać konta lub podawać swoich danych, nie rób tego.

Może się zdarzyć, że prawo nie wystarczy, żeby ochronić Twoją prywatność, bo niektóre podmioty (celowo bądź z niewiedzy) nie przestrzegają prawa. Co zrobić, jeśli ktoś przetwarza dane, chociaż nie ma do tego prawa (np. mimo sprzeciwu zalewa odbiorców niechcianymi ofertami handlowymi lub bez zgody przekazuje dane innym podmiotom)? Jest kilka możliwości:

  1. Jeśli Twoje prawa zostały naruszone, warto złożyć skargę do Prezesa UODO (jak to zrobić, dowiesz się ze strony UODO).
  2. Jeśli naruszenie ochrony danych spowodowało szkodę materialną lub krzywdę, można żądać odszkodowania lub zadośćuczynienia w sądzie cywilnym.
  3. Jeśli sprawa jest poważna, należy powiadomić policję.

Warto pamiętać, że wymogi wskazane w przepisach o ochronie danych osobowych nie dotyczą wszystkich sytuacji. Nie obejmują one osób prywatnych, które gromadzą informacje w celach osobistych lub domowych (np. nie trzeba spełniać jej wymogów, żeby zapisywać kontakty do przyjaciół i rodziny w telefonie).

Pomysł na lekcję

W czasie zajęć uczestnicy i uczestniczki poznają najważniejsze pojęcia związane z ochroną danych osobowych. Dowiedzą się także, jakie prawa w tym zakresie im przysługują i jak z nich korzystać.

Cele operacyjne

Uczestnicy i uczestniczki:

  • rozumieją pojęcia dotyczące ochrony danych (np. dane osobowe, przetwarzanie danych osobowych, zgoda na przetwarzanie danych osobowych);
  • wiedzą, kiedy i na jakich zasadach ich dane osobowe mogą być przetwarzane
  • potrafią chronić swoje dane i reagować na naruszenia.

Przebieg zajęć

1.

Zadaj pytanie:

  • Co to są dane osobowe?

Zbierz skojarzenia uczestników i poproś o wymienianie przykładów. Spisuj pomysły na tablicy.

Zauważ, że najczęściej za dane osobowe uważa się takie informacje, jak imię i nazwisko, adres czy PESEL, ale w rzeczywistości to znacznie szersze pojęcie.

Następnie przyklej na tablicy wydrukowaną definicję danych osobowych z karty pracy nr 1 i na podstawie „Wiedzy w pigułce” omów ją. Powiedz, że potencjalnie każda informacja o kimś może być jego daną osobową, jeżeli tylko dana osoba jest nam znana lub możemy ją zidentyfikować. Zwróć uwagę na to, że dane osobowe są kontekstowe: ta sama informacja może być daną osobową lub nie – w zależności od tego, kto i w jakich okolicznościach ma do niej dostęp. Na podstawie „Wiedzy w pigułce” wspomnij też o danych wrażliwych, które podlegają szczególnej ochronie.

Zapytaj:

  • Jakie informacje, z którymi spotykacie się na co dzień, w zależności od kontekstu mogą być lub nie być daną osobową?

Zbierz wypowiedzi uczestników. Jeżeli mają problem z odpowiedzią na pytanie, możesz zaproponować swoje przykłady: adres e-mail – jest daną, kiedy zawiera charakterystyczne imię i nazwisko lub kiedy patrzymy z perspektywy operatora poczty; tablica rejestracyjna samochodu – jest daną dla policji, a nie jest dla większości zwykłych użytkowników dróg.

2.

Zapytaj:

  • Przy jakich okazjach spotykacie się z pojęciem danych osobowych?
  • Czy spotkaliście się z pojęciem przetwarzania danych osobowych?

Na podstawie „Wiedzy w pigułce” powiedz, czym jest przetwarzanie danych osobowych. Powiedz, że polskie prawo chroni dane osobowe każdego z nas i dlatego ściśle określa, kiedy możliwe jest ich przetwarzanie. Na podstawie „Wiedzy w pigułce” opowiedz o trzech najczęściej wykorzystywanych podstawach prawnych przetwarzania danych (zgoda, przepis prawa, wykonanie umowy).

Powiedz, że w cyfrowym świecie często spotykamy się z udzielaniem zgody na przetwarzanie naszych danych. Zapytaj:

  • Czy ktoś z Was udzielił ostatnio zgody na przetwarzanie swoich danych osobowych? Komu i w jakich okolicznościach?
  • Jak rozumiecie konsekwencje udzielenia zgody? Co z przekazanymi w ten sposób danymi może się wydarzyć?
3.

Powiedz, że w następnym ćwiczeniu przyjrzymy się sytuacjom, w których firmy przetwarzają nasze dane osobowe i zastanowimy się, jaki to może mieć wpływ na nasze życie. 

Podziel uczestników na cztery grupy i rozdaj przypisane im instrukcje z karty pracy nr 2 „Jak chronić dane”. Po zakończeniu zadania poproś o przeczytanie odpowiedzi na forum.

Zapytaj:

  • Jakie mogą być konsekwencje udzielenia zgody na przetwarzanie danych osobowych?
  • Jak myślicie, dlaczego różnym podmiotom może zależeć na tym, żebyśmy podawali nasze dane?
  • Co może się stać z przekazanymi danymi?
4.

Nawiązując do poprzedniego ćwiczenia, na podstawie „Wiedzy w pigułce” opowiedz uczestnikom o ochronie danych osobowych w Polsce. Powiedz, że tym tematem zajmuje się Prezes Urzędu Ochrony Danych Osobowych (UODO). Nasze dane chroni prawo – Konstytucja, prawo unijne (RODO), polskie prawo karne i cywilne oraz ustawa o ochronie danych osobowych. Gdy prawo jest łamane, możemy np. złożyć skargę do Prezesa UODO. Zauważ jednak, że RODO ani ustawa o ochronie danych osobowych nie obowiązują indywidualnych osób przetwarzających dane w celach osobistych lub domowych.

Powiedz, że jeżeli nasze dane dostaną się do sieci, często nawet prawo pozostaje bezsilne. Dlatego ważne, żebyśmy nie udostępniali ich bezrefleksyjnie. Poproś uczestników o wymyślenie pięciu zasad, które można zastosować, żeby lepiej zabezpieczyć swoje dane w sieci (możesz ukierunkowywać, posiłkując się „Wiedzą w pigułce”). Zasady zapisuj w widocznym miejscu, a na koniec przeczytaj na głos.

Ewaluacja

Czy po przeprowadzeniu zajęć uczestnicy i uczestniczki:

  • potrafią powiedzieć, co jest daną osobową, a co nią nie jest?
  • wiedzą, kiedy ich dane osobowe mogą być przetwarzane?
  • wiedzą, jak mogą chronić swoje dane osobowe i jak reagować na naruszenia?

Opcje dodatkowe

Opcją dodatkową może być przeprowadzenie szkolnej kampanii uświadamiającej, czym są dane osobowe i jak można o nie dbać.

Innym pomysłem jest przećwiczenie w grupie różnych sposobów reagowania na łamanie prawa do prywatności. Odwołując się do przykładów z życia uczestników, można przećwiczyć reagowanie na niektóre sytuacje. Podziel uczestników na grupy i poproś o wykonanie zadań:

  1. Posiłkując się stroną internetową Prezesa UODO, przygotujcie skargę na portal internetowy, który bezprawnie wykorzystał zdjęcie oraz imię i nazwisko.
  2. Napiszcie list do administratora strony internetowej z prośbą o usunięcie lub poprawienie zamiesz­czonych na niej danych osobowych.
  3. Odegrajcie scenkę rozmowy z telemarketerem, w której rozmówca dowie się, skąd firma pozyskała jego dane (np. numer telefonu) i kto jest ich administratorem, a następnie cofnie zgodę na ich wykorzystywanie w celach marketingowych.

Na wykonanie ćwiczenia potrzebujesz 20-30 minut.

Materiały

Materiały pomocnicze „Podstawy ochrony danych osobowych” w wersji DOC (91 KB) | Materiały pomocnicze „Podstawy ochrony danych osobowych” w wersji PDF (173 KB) – zawartość:

  • Karta pracy nr 1 „Dane osobowe”
  • Karta pracy nr 2 „Jak chronić dane”

Zadania sprawdzające

Zadanie 1

Zdecyduj, które z poniższych danych to dane osobowe:

  1. Prawda Fałsz Tablica rejestracyjna samochodu dla kierowcy, który jedzie za nim.
  2. Prawda Fałsz Informacja o kolorze skóry jedynego czarnoskórego ucznia w szkole.
  3. Prawda Fałsz Ocena z egzaminu, wywieszona na szkolnej tablicy i przypisana do kodu, który zna tylko osoba zdająca egzamin i nauczyciel – dla innych uczniów.
  4. Prawda Fałsz Tablica rejestracyjna samochodu dla policji.

Słowniczek

Autonomia informacyjna
Ważny aspekt prywatności, prawo do samodzielnego decydowania o ujawnianiu informacji na swój temat oraz do kontrolowania informacji dotyczących własnej osoby, którymi dysponują inni.
Dane osobowe
Wszelkie informacje dotyczące określonej osoby fizycznej - fizycznej – zidentyfikowanej (np. takiej, którą znamy bezpośrednio) lub możliwej do zidentyfikowania (czyli takiej, którą można wskazać na podstawie posiadanych informacji). Nie mamy do czynienia z danymi osobowymi wówczas, gdy informacja dotyczy instytucji (np. firmy), grupy osób, osoby fikcyjnej (np. postaci literackiej) czy takiej, której nie jesteśmy w stanie rozpoznać. Dane osobowe podlegają ochronie i nie mogą być zbierane bez odpowiedniej podstawy prawnej (np. zgody osoby, której dotyczą).
Odszkodowanie
Rekompensata za wyrządzoną szkodę majątkową. Może dotyczyć szkody na mieniu (zniszczony przedmiot, utracony przewidywany zysk związany z jego wykorzystaniem) lub szkody na osobie (np. uszkodzenie ciała, rozstrój zdrowia). Odszkodowanie otrzymuje poszkodowany od tego, kto szkodę wyrządził lub ponosi za nią odpowiedzialność (np. rodzic ponosi odpowiedzialność za szkodę wyrządzoną przez dziecko). Rekompensata może przybrać formę pieniężną lub polegać na przywróceniu stanu istniejącego przed wyrządzeniem szkody.
Prawo do bycia zapomnianym
Inaczej: prawo do usunięcia swoich danych; jeśli Twoje dane są przetwarzane na podstawie Twojej zgody lub w celu wykonania umowy, możesz zażądać ich usunięcia.
Privacy by design
Inaczej: prywatność w fazie projektowania; oznacza, że systemy (programy, aplikacje) do przetwarzania danych od początku powinny być konstruowane w taki sposób, żeby jak najlepiej chroniły prywatność.
Privacy by default
Inaczej: domyślne ustawienia chroniące prywatność; np. przeglądarka internetowa już od chwili instalacji chroni informację o Twoim położeniu i blokuje ciasteczka z trzecich stron, tzw. third-party cookies.
Profilowanie
Oparty na określonych algorytmach mechanizm, który służy kategoryzowaniu ludzi według ich cech, zachowań, preferencji. Jest stosowany m.in. w marketingu internetowym w celu prezentowania reklam dopasowanych jak najściślej do potrzeb określonych użytkowniczek i użytkowników sieci, w branży bankowej i ubezpieczeniowej w celu oceny klienta, a także przez państwo w celu zwiększenia bezpieczeństwa (np. No Fly List w USA).
Prywatność
Sfera życia człowieka, w którą nie należy wkraczać bez pozwolenia. Ma ona swój aspekt cielesny, terytorialny, informacyjny i komunikacyjny. Prywatność jest chroniona przez prawo (m.in. przez Konstytucję RP i akty prawa międzynarodowego). Ograniczenie prawa do prywatności możliwe jest tylko w określonych sytuacjach (na przykład ze względu na bezpieczeństwo publiczne czy ochronę zdrowia).
Przetwarzanie danych osobowych
Wykonywanie jakichkolwiek operacji na danych osobowych, takich jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, zwłaszcza gdy odbywa się w systemach informatycznych.
Zadośćuczynienie
Pieniężna rekompensata za niemajątkową krzywdę odczuwaną jako cierpienie fizyczne lub psychiczne. Zadośćuczynienie otrzymuje osoba poszkodowana od tego, kto wyrządził szkodę lub ponosi za nią odpowiedzialność (np. rodzic ponosi odpowiedzialność za krzywdę wyrządzoną przez dziecko).

Czytelnia