Ustawa o ochronie danych osobowych po zmianach

Transkrypt

1 Ustawa o ochronie danych osobowych po zmianach karon@womczest.edu.pl tel wew. 227 Tomasz Karoń nauczyciel konsultant Obraz:

2 Ustawa zasadnicza KONSTYTUCJA RZECZYPOSPOLITEJ POLSKIEJ z dnia 2 kwietnia 1997 r. Art Nikt nie może być obowiązany inaczej niż na podstawie ustawy do ujawniania informacji dotyczących jego osoby. 2. Władze publiczne nie mogą pozyskiwać, gromadzić i udostępniać innych informacji o obywatelach niż niezbędne w demokratycznym państwie prawnym. 3. Każdy ma prawo dostępu do dotyczących go urzędowych dokumentów i zbiorów danych. Ograniczenie tego prawa może określić ustawa. 4. Każdy ma prawo do żądania sprostowania oraz usunięcia informacji nieprawdziwych, niepełnych lub zebranych w sposób sprzeczny z ustawą. 5. Zasady i tryb gromadzenia oraz udostępniania informacji określa ustawa.

3 Ustawa o ochronie danych osobowych zwana dalej ustawą Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tj.: Dz. U r. poz. 922) Obraz:

4 Dane osobowe i osoba możliwa do zidentyfikowania Ustawa w art. 6 ust. 1 stanowi, iż za: dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. W ust. 2 analizowanego przepisu ustawy wskazano, iż: osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. Ust 3. Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań.

5 Ilekroć w ustawie jest mowa o: zbiorze danych - rozumie się przez to każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie; przetwarzaniu danych - rozumie się przez to jakiekolwiek operacje wykonywane na danych osobowych, takie jak: zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych,

6 Ilekroć w ustawie jest mowa o: zabezpieczeniu danych w systemie informatycznym - rozumie się przez to wdrożenie i eksploatację stosownych środków technicznych i organizacyjnych zapewniających ochronę danych przed ich nieuprawnionym przetwarzaniem, administratorze danych ADO - rozumie się przez to: osobę, decydującą o celach i środkach przetwarzania danych osobowych.

7 Rozporządzenie Rozporządzenie Ministra Spraw Wewnetrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024) Najważniejsze zapisy Rozporządzenia to: 1. Na dokumentację, o której mowa w 1 pkt 1, składa się polityka bezpieczeństwa i instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych, zwana dalej instrukcją 2. Dokumentację, o której mowa w 1 pkt 1, prowadzi się w formie pisemnej. 3. Dokumentację, o której mowa w 1 pkt 1, wdraża administrator danych.

8 Polityka bezpieczeństwa Polityka bezpieczeństwa, o której mowa w 3 ust. 1, zawiera w szczególności: 1) wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe; 2) wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych; 3) opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi; 4) sposób przepływu danych pomiędzy poszczególnymi systemami; 5) określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych.

9 Instrukcja zarządzania systemem informatycznym Instrukcja, o której mowa w 3 ust. 1, zawiera w szczególności: 1) procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności; 2) stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem; 3) procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu; 4) procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania;

10 Instrukcja zarządzania systemem informatycznym 5) sposób, miejsce i okres przechowywania: a. elektronicznych nośników informacji zawierających dane osobowe, b. kopii zapasowych, o których mowa w pkt 4, 6) sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, o którym mowa w pkt III ppkt 1 załącznika do rozporządzenia (opr. nieupr. dost. do sys.); 7) sposób realizacji wymogów, o których mowa w 7 ust. 1 pkt 4 (inf. o odbiorcach danych); 8) procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych.

11 Upoważnienia art. 37 ustawy - Do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych. art. 39 ust. 2 ustawy - Osoby, które zostały upoważnione do przetwarzania danych, są obowiązane zachować w tajemnicy te dane osobowe oraz sposoby ich zabezpieczenia. Obraz:

12 Zmiany mniejsze: Ogólna informacja o zmianach w ustawie Art. 43 ust 1 pkt 12 (dodany) ustawy nie są rejestrowane w GIODO zbiory, które nie są prowadzone z wykorzystaniem systemów informatycznych (papierowe). Art. 48 ustawy (zmieniony) ułatwienie przekazywania danych do państw trzecich tkz. wiążące reguły korporacyjne oraz klauzule standardowe. Zmiany większe dotyczące Administratora Bezpieczeństwa Informacji (ABI) Art. 12 pkt 4 (zmiana), art. 19b (dodanie), art. 36 ust 3 (uchylenie), art. 36a 36c (dodanie), art. 40 (zmiana), art. 46b 46f (dodanie) ustawy Art. 35 ustawy zmieniającej przepis przejściowy i dostosowujący ABI dotychczas powołany może pełnić obowiązki do 30 czerwca 2015 r. 12

13 Administrator bezpieczeństwa informacji (ABI) Dotychczasowy, jedyny zapis o ABI brzmiał: (art. 36 ust 3) Administrator danych wyznacza administratora bezpieczeństwa informacji, nadzorującego przestrzeganie zasad ochrony, o których mowa w ust 1, chyba że sam wykonuje te czynności. Zgodnie z regulacją art. 36a ust. 1 ustawy - administrator danych może wyznaczyć administratora bezpieczeństwa informacji - ABI, ADO zapewnia środki i organizacyjną odrębność ABI niezbędne do niezależnego wykonywania zadań (art. 36a ust 8) ABI podlega bezpośrednio ADO (art. 36a ust 7), ADO może powołać zastępców ABI (art. 36a ust 6) Obraz:

14 Administrator bezpieczeństwa informacji ADO może powierzyć ABI wykonywanie innych obowiązków, jeżeli nie naruszy to prawidłowego wykonywania zadań (art. 36a ust. 4) Jeżeli ADO nie powoła ABI to sam wykonuje jego obowiązki za wyjątkiem sporządzania sprawozdania (art. 36b) ABI wyznaczony na podstawie art. 36 ust 3 zmienianej ustawy pełni obowiązki do 30 czerwca 2015 r. (art. 35 ustawy zmieniającej). Obraz:

15 Administrator bezpieczeństwa informacji (ABI) Administratorem bezpieczeństwa informacji może być osoba, która (art. 36a ust 5): Ma pełną zdolność do czynności prawnych oraz korzysta z pełni praw publicznych; Posiada odpowiednią wiedzę w zakresie ochrony danych osobowych - Informacja Generalnego Inspektora Danych Osobowych (GIODO) Nie była karana za przestępstwo umyślne; ADO jest obowiązany zgłosić GIODO powołanie ABI w terminie 30 dni od jego powołania wypełniając zgłoszenie, zawierające m.in.: Oświadczenie ADO o spełnianiu przez ABI warunków określonych w art. 36a ust 5 (niekarany, posiada wiedzę) i w art. 36a ust 7 (podleganie bezpośrednio ADO) Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 10 grudnia 2014 r. w sprawie wzorów zgłoszeń powołania i odwołania administratora bezpieczeństwa informacji Link do rozporządzenia: 15

16 Administrator bezpieczeństwa Do zadań ABI należy (art. 36a ust 2): informacji zapewnienie przestrzegania przepisów o ochronie danych osobowych, w szczególności poprzez: Sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych os. oraz opracowywanie sprawozdania dla administratora danych Nadzorowanie opracowywania i aktualizowania dokumentacji ochrony danych osobowych oraz przestrzeganie zasad w niej określonych Zapewnienie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie trybu i sposobu realizacji zadań w celu zapewnienia przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji (Dz. U. z 2015, poz. 745) Prowadzenie jawnego rejestru zbiorów danych przetwarzanych przez ADO

17 Sprawdzenie i sprawozdanie Sprawozdanie jest tworzone dla ADO na podstawie: Planu sprawdzeń Działań nieplanowanych np. powzięcia informacji o naruszeniu ochrony Sprawozdanie jest tworzone dla GIODO na podstawie art. 19b ust 1, gdy GIODO zwróci się o to podając zakres i termin sprawdzenia Szczegółowy zakres czynności do których uprawniony jest ABI określa rozporządzenie, które będzie wydane na podstawie art. 36a ust 9 pkt 1 ustawy aktualnie jest projekt Powinno zawierać m.in. (art. 36c): Określenie przedmiotu i zakresu sprawdzenia Opis stanu faktycznego stwierdzonego w toku sprawdzenia oraz wszelkie informacje mające istotne znaczenie dla oceny zgodności przetwarzania danych osobowych z przepisami Stwierdzone przypadki naruszenia przepisów o ochronie danych osobowych w zakresie objętym sprawdzeniem wraz z działaniami przywracającymi stan zgodny z prawem Podpis ABI

18 Nadzorowanie opracowywania i aktualizowania dokumentacji ochrony danych Nadzór, polega na weryfikacji: Opracowania i kompletności dokumentacji przetwarzania danych osobowych Zgodności dokumentacji przetwarzania danych z obowiązującymi przepisami Stanu faktycznego w zakresie przetwarzania danych osobowych Skuteczności przewidzianych w dokumentacji środków technicznych i organizacyjnych Przestrzegania obowiązków określonych w dokumentacji przetwarzania danych W przypadku wykrycia nieprawidłowości ABI: Zawiadamia ADO o brakach w dokumentacji, w szczególności przedstawia mu dokumenty do wdrożenia Poucza lub instruuje osoby nieprzestrzegające zasad określonych w dokumentacji lub zawiadamia ADO wskazując osoby odpowiedzialne Powyższe czynności mogą być wykonywane w formie sprawozdania lub dodatkowym dokumencie (notatka służbowa)

19 Prowadzenie przez ABI rejestru zbiorów danych ADO ma obowiązek zgłosić zbiór do rejestracji w GIODO za wyjątkiem przypadków określonych w art. 43 ust. 1 i 1a (art. 40 ustawy) Art. 43 ust 1 - obowiązku rejestracji są zwolnieni ADO przetwarzający dane: osób u nich zatrudnionych, osób, którym świadczą usługi na podstawie umów cywilnoprawnych, osób u nich zrzeszonych lub uczących się; przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej; powszechnie dostępnych; przetwarzanych w zbiorach, które nie są prowadzone z wykorzystaniem systemów informatycznych, z wyjątkiem zbiorów zawierających dane sensytywne (art. 27 ust 1) Powołanie ABI zdejmuje obowiązek rejestracji zbiorów danych w GIODO za wyjątkiem zbiorów zawierających dane sensytywne (art. 27 ust 1) art. 43 ust 1a ustawy ABI ma za zadanie prowadzenie rejestru zbiorów danych przetwarzanych przez administratora danych, z wyjątkiem zbiorów, o których mowa w art. 43 ust. 1

20 Prowadzenie przez ABI rejestru zbiorów danych Na podstawie projektu rozporządzenia na etapie opiniowania Rejestr prowadzony jest w formie papierowej lub elektronicznej Szczegółową zawartość rejestru określa art. 41 ust 1 pkt 2 7, powinno się tam znaleźć m.in. podstawa prawna upoważniająca do prowadzenia zbioru danych, cel przetwarzania danych w zbiorze, zakres danych przetwarzanych w zbiorze ABI dokonuje wpisu do rejestru: przy rozpoczęciu przetwarzania w nim danych osobowych, aktualizacji informacji dot. zbioru, wykreślenia zbioru danych ADO udostępnia rejestr albo poprzez witrynę internetową albo w siedzibie administratora każdemu zainteresowanemu

21 Działania do realizacji Rozważenie powołania Administratora Bezpieczeństwa Informacji (ABI) zgodnie z nowymi regulacjami - termin i osoba Warto zweryfikować kompletność dokumentacji przetwarzania danych osobowych w tym: polityki bezpieczeństwa (opisy zbiorów), instrukcji zarządzania systemem informatycznym oraz wydanych upoważnień do przetwarzania danych osobowych Można rozważyć terminy realizacji planu sprawdzeń i ich przedmiotu Warto rozważyć szkolenia z zakresu ochrony danych osobowych Administrator Bezpieczeństwa Informacji RODN WOM w Częstochowie Tomasz Karoń karon@womczest.edu.pl Tel wew. 227

22 Dziękuję za uwagę Tomasz Karoń Tel wew. 227