Zadania Użytkowników, Inspektora ODO

Transkrypt

1 RODO 2018 Zadania Użytkowników, Inspektora ODO i Administratora Danych w świetle zmian RODO 2018 Copyright by Jarosław J. Feliński, wszelkie prawa autorskie zastrzeżone Autor: Jarosław J. FELIŃSKI Wykładowca akademicki UJ - AGH KRAKÓW WIT Warszawa, DSW Wrocław, WSAP Szczecin, WSE Białystok Audytor wiodący ISO PN ISMS RODO to nie Rodeo"

2 PROGRAM SZKOLENIA POLITYKA BEZPIECZEŃSTWA INFORMACJI A POLITYKA OCHRONY DANYCH wg RODO określenie podstawowych nowych pojęć RODO; zakres obowiązywania PBI w obecnym stanie prawnym i przekształcenie w nową formę POLITYKA OCHRONY DANYCH, legalność przetwarzania danych osobowych, w ujęciu nowych delegacji RODO w polskich przepisach prawa,

3 KWALIFIKACJE ZAWODOWE INSPEKTORA OCHRONY DANYCH OSOBOWYCH zadania INSPEKTORA OCHRONY DANYCH OSOBOWYCH; zadania ASI i Kierowników komórek organizacyjnych; zalecenia organizacyjne i techniczne, omówienie sposobu prowadzenia nadzoru i WŁĄCZANIA WE WSZYSTKIE SPRAWY ODO; zgodność instrukcji POD z innymi regulacjami wewnętrznymi;

4 ZASADY ORGANIZACJI OCHRONY DANYCH OSOBOWYCH prawa klientów / interesantów w zakresie ochrony prywatności wg RODO; nowe prawa OSÓB wg RODO i ustaw krajowych, zasady informowania PT Klientów o prawach zgodnie z RODO; kryteria powierzania i zabezpieczania danych osobowych wg RODO; uprawnienia pracowników/użytkowników w obszarach przetwarzanych danych; zmiana ABI na INSPEKTORA OCHRONY DANYCH OSOBOWYCH; kwalifikacje zawodowe i audytowe konieczne minimum; zmiana w kategorii - ODPOWIEDZIALNOŚĆ UŻYTKOWNIKÓW. AUDYT BEZP.INFORMACJI IODO wg PN ISO 27001

5

6 RODO ZADANIA ADMINISTRATORA DANYCH OSOBOWYCH OIL, KOMISJE, RZECZNIK, NZOZ GABINET STOMATOLOGICZNY KLINIKA GABINET MED. ESTETYCZNEJ JAKA JEST PODSTAWA PRAWNA GROMADZENIA DANYCH PACJENTA? KTO POSIADA UPRAWNIENIE I Z CZEGO WYNIKAJĄCE DO PRZETWARZANIA DANYCH? CO WIDZĄ PODMIOTY PRZETWARZANIA? JAKIE WARUNKI OKREŚLONO WYKONAWCOM USŁUG np. IT, LABORATORIUM INNE

7 Okręgowa Izba Lekarska w Koszalinie

8 Okręgowa Izba Lekarska w Koszalinie 27/01/2018 = 36 b UODO

9 Okręgowa Izba Lekarska w Koszalinie!!! Niezgodność z RODO

10 PRZYKŁADY Z SIECI

11 PRZYKŁADY Z SIECI

12 PRZYKŁADY Z SIECI

13 ZADANIA ADMINISTRATORA DANYCH OSOBOWYCH ODPORNOŚĆ NA

14 ANALIZA RYZYKA I OCENA SKUTKÓW RODO RODO TO NIE tylko uporządkowane działanie procesowe w zarządzaniu jednostką RODeO ofert i usług GDPR RODO RODO RODO RODO 14

15 wdrożenie RODO wdrożenie 1. nauczenie kogoś wykonywania rutynowych czynności; 2. podjęcie jakiegoś działania; 3. rozpoczęcie stosowania czegoś w praktyce wdrożenie dopuszczalne w grach wdrożyć wprowadzić w stan używalności (najczęściej w odniesieniu do systemów informatycznych)

16 Funkcjonalne systemy WDRAŻANIE RODO ADO - PLANOWANIE ZMIAN KTO Z PAŃSTWA ZGŁASZA SIĘ NA IODO?

17 Funkcjonalne systemy KTO Z PAŃSTWA ZGŁASZA SIĘ NA IODO? POLITYKA PRYWATNOŚCI Centrum Medyczne ENEL-MED S.A. zgodnie z art. 24 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn. Dz. U. z 2002 r., nr 101, poz. 926, z późn.zm.) przekazuje poniżej informacje na temat przechowywania, przetwarzania i celów przetwarzania danych, mającą charakter zapewnienia o zachowaniu należytej staranności po stronie Centrum Medycznego ENEL-MED.

18 Funkcjonalne systemy KLINICE/PRACA/ KTO Z PAŃSTWA ZGŁASZA SIĘ NA IODO? Prosimy o umieszczenie w CV następującej oraz o klauzuli: Wyrażam zgodę na przetwarzanie moich danych osobowych dla potrzeb niezbędnych do realizacji procesu rekrutacji (zgodnie z [!!!...] Ustawą z dnia roku o Ochronie Danych Osobowych; (tekst jednolity: Dz. U r. poz. 922). Aplikację wraz ze zdjęciem prosimy kierować na adres mailowy: rekrutacja@rogowski.pl

19 Konstytucyjne i ustawowe zasady ochrony danych osobowych Pycha jestem najlepszym ABI m, po jednym dniu... Chciwość wszyscy ADO są / będą moimi klientami - niebawem... Nieczystość /nie/ znam podstaw prawnych przetwarzania... Zazdrość inny abi ma o 1 ADO więcej Nieumiarkowanie w [ ] ilości przetwarzanych danych z kolizją adekwatności co do celu Gniew jak to ja nie wiem? WIEM WSZYSTKO Lenistwo już wszystko mam /tabelki/, WIĘC SPOKO 19

20 a każda z tych usług to BAZA OKREŚLONYCH DANYCH [AKTYWÓW INFORMACYJNYCH] podlegających ochronie ustawowej. Przykładami powszechnie stosowanych elektronicznych usług są: e ~ sądy, e ~ administracja, e ~ WUŚ; e ~ PUAP; e ~ szkoła; e ~ recepta; e ~ L4 itd.; e ~ pacjent; e ~ student

21 Konstytucyjne i ustawowe zasady ochrony danych osobowych KROK 1 WDROŻENIOWY ORGANIZACJA OCHRONY DANYCH WG RODO KLASYFIKACJA PRZEPISÓW 21

22 Zarządzanie informacją zakres i definicje Konstytucja RP - art. 51 UODO + Kodeks Pracy i inne przepisy resortowe Konstytucyjne i ustawowe zasady ochrony danych osobowych Rozporządzenia MSWiA i KRI STATUT - REGULAMINY ORG. - PRACY Paragraf 20 ust.2 6 szkolenia 14 audyt ZAKRESY ODPOWIEDZIALNOŚCI Kierowników i UŻYTKOWNIKÓW 22

23 Dane o OSOBIE W KATEGORIACH PRZETWARZANIA Czym jest Gdzie jest Ochrona danych Ochrona prywatności Identyfikacja Personalna PRZEDMIOT PRODUKT Personalizacja i lokalizacja; zachowania, Instytucje i biznes Operatorzy Ochrona intymności Uczucia, Odczucia, Diagnozy Komentarze, Opinie, Opisy e ~ Społeczności 23

24 Powód stosowania UODO / RODO

25

26 Funkcjonalne systemy 1. Przychodzi PT Klient i składając wniosek art. 32 ust. 1 UODO prosi o wyliczenie się ze stosowania art. 24 tj obowiązku informacyjnego wg UODO i RODO - co powinien wykonać ABIODO? - okazać zapisy PBI, czy IZSI [dane w stacjach roboczych?]; - opisać charakter czynności, operacji, klasyfikacji i kategoryzacji danych?; - odesłać do Wpływa wniosek o wykazanie podstaw przetwarzania danych z podmiotem usług zewnętrznych, który utracił dane tego Klienta - ABIODO działa poprzez: - odesłanie do ABIODO podmiotu usług zewnętrznych? - samodzielnie wyjaśnia zdarzenie? - podaje wykładnię orzecznictwa XI 2017 SN?

27 NOWELE I ODO od 1997 UODO 2011/03/07 - art = UODO /2018 ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGOI RADY w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych (ogólne rozporządzenie o ochronie danych) INSPEKTOR OCHRONY DANYCH 25 maja 2016

28 Kompleksowe zarządzanie bezpieczeństwem informacji Zakres działań ABI określony zmianami BRAK ZADAŃ USTAWOWYCH ZAKRES ZADAŃ W UODO Art. - 36a POWOŁANIE ABI ZGŁOSZENIE ABI DZIAŁANIA ABI ========================= Art. 36b ZAKRES NOWYCH ZADAŃ W RODO DYREKTOR = ADO i ABI 25 maja 2018 Inspektor Ochrony Danych Osobowych

29

30

31 Funkcjonalne systemy Porównanie zapisów UODO RODO

32 Organizacyjne, techniczne i fizyczne Konieczne jest związanie zakresów obowiązków pracowników z zagadnieniami dotyczącymi bezpieczeństwa informacji. ABIODO Obiegówka? KADRY ASI IODO KKO UŻYTKOWNIK 32

33 Funkcjonalne systemy WERYFIKACJA SIWBI

34 Konstytucyjne i ustawowe zasady ochrony danych osobowych KROK 2 WDROŻENIOWY INSPEKTOR OCHRONY DANYCH OSOBOWYCH WG RODO WYZNACZENIE 34

35 INTERDYSCYPLINARNOŚĆ ZAWODOWA ABI 20% PRAWNIK IODO 20% IT Nie jest referentem ds. upoważnień i oświadczeń, tabel i rejestrów jednostki organizacyjnej. 20% PEDAGOG. 20% PSYCHOLOG. / SOCJOLOG. 20% ZARZĄDCA

36 RODO ADO PO NOWEMU

37 RODO

38 RODO ADO PO NOWEMU Radca, IT,

39 UODO 36 a RODO ABIODO PO NOWEMU

40 Porównanie przepisów: Art. 36a ust. 5 pkt 2) posiada odpowiednią wiedzę w zakresie ochrony danych osobowych; Art. 37 ust. 5.Inspektor ochrony danych jest wyznaczany na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia zadań, o których mowa w art. 39./RODO/ Porównanie przepisów!!! Art. 2 pkt 2) edukacja formalna kształcenie realizowane przez publiczne i niepubliczne szkoły oraz inne podmioty systemu oświaty, uczelnie oraz inne podmioty systemu szkolnictwa wyższego, w ramach programów, które prowadzą do uzyskania kwalifikacji pełnych, kwalifikacji nadawanych po ukończeniu studiów podyplomowych,

41 Porównanie przepisów:

42 Funkcjonalne systemy ANALIZA RYZYKA ADO + IODO + ASI

43 100 % ryzyka AB I ODO nie posiada kompetencji ma wiedzę? UODO, nie ma kwalifikacji RODO, nie jest audytorem BI KRI wg PN i rodzina 2700x

44 Co wie o: UODO, RODO, KRI, PN i rodzina 2700x Twój ADO / ASI, HR

45

46

47 Funkcjonalne systemy AKTUALIZACJA PBI POD KTO WYKONUJE

48 Aktualizacja Polityki Bezpieczeństwa Informacji Administrator Danych Osobowych ZADANIA 2015 IODO 2018 Art. 36a ust. 1 POWOŁANIE ABI Ust. 4 - POWIERZENIE CZYNNOŚCI DODATKOWYCH Ust. 6 POWOŁANIE ZASTĘPCÓW Ust. 7 PODLEGŁOŚĆ ABI - IODO Ust. 8 ZAPEWNIENIE ŚRODKÓW Art. 46b ZGŁOSZENIE, ZMIANA lub ODWOŁANIE ABI 48

49 Aktualizacja Polityki Bezpieczeństwa Informacji 49

50 Aktualizacja Polityki Bezpieczeństwa Informacji 50

51 NOWY OBOWIĄZEK INFORMACYJNY

52 Aktualizacja Polityki Bezpieczeństwa Informacji IODO 52

53 Aktualizacja Polityki Bezpieczeństwa Informacji IODO 53

54 Konstytucyjne i ustawowe zasady ochrony danych osobowych KROK 3 WDROŻENIOWY ORGANIZACJA OCHRONY DANYCH WG RODO KLASYFIKACJA KATEGORII DANYCH ORAZ OPERACJI 54

55 Zakres aktualizacji PBI art.36 UODO / RODO Klasyfikacja ABI 2015: 1. przepisów prawa przepisów prawa organizacji kategorii danych kategorii zbiorów kategorii przetwarzania kategorii użytkowników

56 Zakres aktualizacji PBI art.36 UODO/ RODO Klasyfikacja użytkowników: 1. wnioski, formularze pisma, etc sprawy personalne cctv ochrona KURATORZY SPOŁECZNI

57 KLASYFIKACJA - OPERACJI - PRZETWARZANIA DANYCH >> Przetwarzanie danych- to wszelkie operacje wykonywane na danych osobowych; 20. KRI A.UDOSTĘPNIANIE ART.23 [~] = WNIOSEK B. POWIERZANIE ART. 31= UMOWA C.PRZESYŁANIE / TRANSFER = ART.23[~] USTAWA / Y D. Usuwanie danych - to trwałe zniszczenie danych osobowych uniemożliwiające identyfikację osoby;

58 Konstytucyjne i ustawowe zasady ochrony danych osobowych KROK 3 WDROŻENIOWY ORGANIZACJA OCHRONY DANYCH WG RODO AUDYT BEZPIECZEŃSTWA INFORMACJI 58

59 AUDYT BI ZADANIE 2018 IODO

60 Uprawnienia formalne audytu zewnętrznego

61 61

62 Aktualizacja Polityki Bezpieczeństwa Informacji Administrator Danych Osobowych ZADANIA 2015 Art. 36a ust. 1 POWOŁANIE ABI ZADANIE 2018 IODO

63 Funkcjonalne systemy OCENA SKUTKÓW

64 Aktualizacja Polityki Bezpieczeństwa Informacji Administrator Bezpieczeństwa Informacji 2015 Art. 19b ust. 1 GIODO po rejestracji ABI.. poleca ust. 2 poprzez ADO SPRAWOZDANIE do GIODO Art. 36a ust. 2 pkt 1 lit. a c - ZADANIA 1. Sprawdzanie, [planowana kontrola okresowa] 2. Nadzorowanie, [kontrola bieżąca] 3. Zapoznanie [szkolenie] 4. ust. 2 pkt 2 REJESTR ZBIORÓW 5. Art. 36c SPRAWOZDANIE [GIODO, ADO] 6. Art. 36 c pkt 5 - SPRAWDZENIE 64

65 Aktualizacja Polityki Bezpieczeństwa Informacji UODO RESORTOWE PBI / IZSI UOIPP / KRI U KPracy 65

66 Aktualizacja Polityki Bezpieczeństwa Informacji Procesowe zasady tworzenia dokumentacji: SIWBI specyfikacja istotnych warunków bezpieczeństwa informacji; Inwentaryzacja aktywów; Analiza potrzeb placówki; Określenie możliwości budżetowych; Struktura organizacyjna; Dywersyfikacja zadań; Wdrożenie dokumentacji; Szkolenia informacyjne; Amortyzacja sprzętu IT - wiedzy użytkowników; WSPARCIE? zewnętrzne / niezależne konsultacje [obiektywizm] 66

67 Zakres aktualizacji PBI art.36 - aktywa ŚRODKI ORGANIZACYJNE STRUKTURA ZADANIA ŚRODKI TECHNICZNE WARUNKI TECHNICZNE PROCEDURY ŚRODKI FIZYCZNEJ OCHRONY DANYCH PERSONEL / USŁUGI ZASOBY/ zbiory

68 Analiza statutu i prawa miejscowego pod wzgl. zgodności z PBI PBI ZGODNOŚĆ ZAPISÓW UODO KRI i KZ zgodność zapisów INSTRUKCJA KANCEL. - JRWA

69 centralizacja i decentralizacja procesów zabezpieczenia informacji uprawnia do stosowania przez administratorów innych rozwiązań organizacyjnych np. lokalne zakresy odpowiedzialności ADMINISTRATOR DANYCH (KJO) PODLEGA BEZPOŚREDNIO Administrator Bezpieczeństwa Informacji (ABI) ZGODNIE Z ART. 36 UST 1 W OPARCIU O SCHEMAT ORGANIZACYJNY Administrator Systemu Informatycznego (ASI)

70 U. SKARB. ART.23 [ ] POWIERZENIE - ART.31 PODPOWIERZENIE DALSZE POWIERZENIE ADO MEDYCYNA ART. 31 PODWYKO - - NAWCA / LABORAT. SIO ART.23/1/2 ZUS ART.23/1/1

71 Funkcjonalne systemy OCENA ZAGROŻEŃ

72 GAZETA WYBORCZA

73 GAZETA PRAWNA

74 GAZETA PRAWNA

75 ZAGROŻENIA

76 Konstytucyjne i ustawowe zasady ochrony danych osobowych KROK 4 WDROŻENIOWY ORGANIZACJA OCHRONY DANYCH WG RODO SZCZEGÓLNE ZADANIA IODO W TRAKCIE WYBORÓW

77 Aktualizacja Polityki Bezpieczeństwa Informacji ZADANIA IODO 77

78 Aktualizacja Polityki Bezpieczeństwa Informacji ZADANIA IODO METODOLOGIA AUDYTU BI ISO PN

79 Zaangażowanie Kierownictwa w procesie tworzenia PBI Odpowiednie reagowanie na wdrożenie nowych przepisów PBI zgodna z celami statutowymi Powszechna edukacja, okresowe szkolenia doskonalące i informowanie Planowanie środków na rozwijanie bezpieczeństwa [UODO i 117 SIO] PODSUMOWANIE 2014 ADO /ABI ABI [WŁASNY] OBOWIĄZKOWY V 2018 ABI - WŁASNY LUB ZEWNĘTRZNY IOD 25 MAJA 2018 WŁASNY LUB ZEWNĘTRZNY

80 Aktualizacja Polityki Bezpieczeństwa Informacji Art Kto, wbrew przepisom ustawy lub przyjętemu na siebie zobowiązaniu, ujawnia lub wykorzystuje informację, z którą zapoznał się w związku z pełnioną funkcją, wykonywaną pracą, działalnością publiczną, społeczną, gospodarczą lub naukową, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. Art Kto bez uprawnienia uzyskuje dostęp do informacji dla niego nieprzeznaczonej, otwierając zamknięte pismo, podłączając się do sieci telekomunikacyjnej lub przełamując albo omijając elektroniczne, magnetyczne, informatyczne lub inne szczególne jej zabezpieczenie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat Tej samej karze podlega, kto bez uprawnienia uzyskuje dostęp do całości lub części systemu informatycznego. 3. Tej samej karze podlega, kto w celu uzyskania informacji, do której nie jest uprawniony, zakłada lub posługuje się urządzeniem podsłuchowym, wizualnym albo innym urządzeniem lub oprogramowaniem. 80

81 Dziękuję za uwagę. Proszę o zadawanie pytań? jaroslaw.felinski@gazeta.pl 81

82 Jarosław Feliński - Praktyk, wykładowca wyższych uczelni; (wykładowca na studiach podyplomowych z problematyki zarządzania bezpieczeństwem informacji: Uniwersytetu Jagiellońskiego w Krakowie; AGH Kraków; DSW Wrocław; WSAP Szczecin; Wyższej Szkoły Informatyki Stosowanej i Zarządzania pod auspicjami Polskiej Akademii Nauk WIT Warszawa, WSE Białystok, Twórca autorskiego programu podyplomowych studiów zarządzania bezpieczeństwem informacji dla ABI 2013 i IODO 2017 kierownik studiów podyplomowych w roku akademickim od /2018. Autor programu studiów podyplomowych Inspektor Ochrony Danych Osobowych poziom zaawansowany w WSISiZ PAN Warszawa /2018. Audytor Wiodący PN ISO/IEC [IRCA]. Od 2016 konsultant i ABI wybranych placówek oświatowych Miasta Stołecznego Warszawy. W latach wykładowca i uczestnik Projektu FRDL Warszawa / Gdańsk 5.2 POIG o charakterze proinnowacyjnym: Opracowanie i wdrożenie systemu wsparcia przedsiębiorstw kluczowych technologii wspomagających w zakresie zarządzania wiedzą, dofinansowanego ze środków Europejskiego Funduszu Rozwoju Regionalnego w ramach Programu Operacyjnego Innowacyjna Gospodarka. Prezes Stowarzyszenia Inspektorów Ochrony Danych Osobowych w Polsce.

83

84