Warszawa, 17 marca 2014 r.

Wielkość: px
Rozpocząć pokaz od strony:

Download "Warszawa, 17 marca 2014 r."

Transkrypt

1 Warszawa, 17 marca 2014 r. Stanowisko Zespołu Ekspertów powołanego przez GIODO, dotyczące potrzeby zmiany art. 39a ustawy o ochronie danych osobowych (zawierającego delegację do wydania rozporządzenia) oraz rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych Zdaniem Zespołu Ekspertów GIODO, dalej Zespołu występuje potrzeba zmian przepisów wykonawczych do ustawy o ochronie danych osobowych, stanowiących wykonanie upoważnienia zawartego w art. 39a ustawy o ochronie danych osobowych (Dz.U z 2002 r., Nr 101, poz. 926, ze zm.), dalej u.o.d.o. Obecnie aktem wykonawczym realizującym wspomnianą delegację jest rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024), dalej rozporządzenie. W opinii Zespołu określone w rozporządzeniu środki zabezpieczenia technicznego i organizacyjnego nie przystają już do wyzwań współczesnych technologii i do globalnego charakteru przetwarzania danych osobowych. Szeroki dostęp do Internetu i powszechne wykorzystanie sieci ogólnodostępnych do przetwarzania danych osobowych powodują, że określone w rozporządzeniu kryteria trzech poziomów bezpieczeństwa danych w systemie informatycznym, nie opisują poprawnie zagrożeń w rzeczywistych warunkach przetwarzania danych osobowych. Nie uwzględniają one m. in. faktu, że oparte na zestawie nowoczesnych technologii przetwarzanie danych w chmurze obliczeniowej umożliwia łatwy i tani, dostęp do różnych modeli usług przetwarzania danych, szybkie ich wdrożenie oraz elastyczne, odpowiednie do potrzeb, wykorzystanie zasobów przetwarzania. Obecnie znaczna część przetwarzania danych osobowych dokonywana jest na wielką skalę w złożonych procesach przetwarzania z wykorzystaniem technologii sieciowych i wirtualizacji zasobów. Należy przyjąć, że taki sposób przetwarzania danych osobowych, w związku z dalszym postępem technologicznym i przynoszeniem korzyści ekonomicznych, będzie się rozwijał. Następną cechą współczesnego przetwarzania danych osobowych jest jego duża złożoność i dynamika, w 1

2 szczególności wydłużanie oraz komplikacja łańcuchów przetwarzania poprzez jego powierzanie i podpowierzanie, często połączone z przekazywaniem danych osobowych do państwa trzeciego. Powoduje to, że środki techniczne i organizacyjne ochrony danych osobowych powinny zapewniać bezpieczeństwo nie tylko zbiorów i pojedynczych danych osobowych lecz powinny zapewniać także bezpieczeństwo operacji przetwarzania danych osobowych. W szczególności operacji przetwarzania, które stwarzają szczególne zagrożenie dla praw podmiotu danych, a więc operacji przetwarzania danych osobowych wrażliwych, o których mowa w art. 27 ust. 1 u.o.d.o. oraz szczególnych operacji przetwarzania innych danych osobowych, które ze względu na swój charakter, a także zakres i cele przetwarzania, stwarzają takie zagrożenie. Za szczególne operacje przetwarzania danych osobowych należy uznać przetwarzanie tych danych z wykorzystaniem określonych technologii takich jak chmura obliczeniowa, wirtualizacja zasobów, identyfikacja radiowa oraz przetwarzanie w określonym celu takim jak profilowanie. Nie można zapewnić bezpieczeństwa operacji przetwarzania danych osobowych w systemach teleinformatycznych poprzez spełnienie wymagań określonych w obowiązującym rozporządzeniu w tym poprzez stosowanie zestawów środków technicznych i organizacyjnych przypisanych do sztywno zdefiniowanych i nieadekwatnych do rzeczywistych zagrożeń poziomów bezpieczeństwa przetwarzania danych. Zespół proponuje aby w projektowanym rozporządzeniu bezpieczeństwo przetwarzania danych osobowych rozumiane jako bezpieczeństwo zbiorów danych osobowych, pojedynczych danych oraz operacji przetwarzania danych osobowych, było oparte na zarządzaniu bezpieczeństwem danych osobowych. Podstawą takiego zarządzania powinno być stosowanie, określonych w rozporządzeniu, wymagań i środków w zakresie bezpieczeństwa danych osobowych. Podstawowe wymagania i środki zarządzania bezpieczeństwem danych osobowych to: 1) przeprowadzanie analizy zagrożeń (ryzyka) dla przetwarzania danych osobowych, w odniesieniu do kategorii przetwarzanych danych oraz sposobów i operacji przetwarzania danych przez ADO i przetwarzających (procesorów, którym dane są powierzane do przetwarzania). Analiza ma na celu określenie poziomu zagrożeń oraz doboru odpowiednich środków technicznych i organizacyjnych (zabezpieczeń) dla minimalizacji występowania zagrożeń podstawowych lub rozszerzonych, które 2

3 powinny być zrealizowane dla zabezpieczenia danych przez ADO i przetwarzającego. a. Przeprowadzanie podstawowej analizy zagrożeń (ryzyka) przez wszystkich ADO i przetwarzających w odniesieniu do kategorii przetwarzanych danych oraz sposobów i operacji ich przetwarzania. b. Przeprowadzanie rozszerzonej analizy zagrożeń przez podmioty wykonujące operacje przetwarzania danych, które stwarzają szczególne ryzyko dla praw podmiotu danych, a więc operacji przetwarzania danych osobowych wrażliwych, o których mowa w art. 27 ust. 1 u.o.d.o. oraz szczególnych operacji przetwarzania innych danych osobowych, które ze względu na swój charakter a także zakres i cele przetwarzania stwarzają takie ryzyko. 2) dobór technicznych i organizacyjnych środków ochrony danych zabezpieczenia na poziomie podstawowym lub rozszerzonym w zależności od poziomu zagrożeń - który wynika z analizy zagrożeń przetwarzania danych osobowych uwzględniającej kategorie i sposoby przetwarzania danych oraz wykonywanie szczególnych operacji przetwarzania. 3) wdrożenie środków technicznych i organizacyjnych dotyczących zarządzania bezpieczeństwem danych osobowych, przez ADO lub przetwarzających, na poziomie podstawowym wynikających z przeprowadzonej analizy zagrożeń przetwarzania danych osobowych. 4) wdrożenie i funkcjonowanie systemu zarządzania bezpieczeństwem danych osobowych, który powinien zapewnić poufność, dostępność oraz integralność danych osobowych z uwzględnieniem takich atrybutów, jak autentyczność, rozliczalność, niezaprzeczalność i niezawodność przez ADO i przetwarzających, którzy przetwarzają dane osobowe wrażliwe, o których mowa w art. 27 ust. 1 u.o.d.o. oraz wykonują szczególne operacje przetwarzania danych, które ze względu na swój charakter a także zakres i stwarzają szczególne ryzyko dla podmiotu danych. Ze względu na stan regulacji dotyczących kwestii definicyjnych Zespół proponuje aby w dalszych pracach nad projektowanym rozporządzeniem, po kolejnych analizach, określić: kategorie danych osobowych, sposoby ich przetwarzania oraz szczególne operacje przetwarzania, które ze względu na 3

4 swój charakter a także zakres stwarzają szczególne ryzyko dla podmiotu danych - które powinny być przedmiotem rozszerzonej analizy zagrożeń (ryzyka). 5) wdrożenie środków technicznych i organizacyjnych ochrony danych przez ADO i przetwarzających w momencie ustalania środków niezbędnych do przetwarzania danych osobowych, jak i w momencie samego przetwarzania tych danych. Jak wynika z powyższego Zespół proponuje także wprowadzenie w projektowanym rozporządzeniu, bez obniżenia poziomu ochrony danych osobowych, zróżnicowania sposobu wypełniania wymogów dotyczących stosowania środków technicznych i organizacyjnych ochrony danych przez ADO i przetwarzających na poziomie podstawowym i rozszerzonym. Podstawą tego zróżnicowania jest poziom zagrożenia jaki wynika z realizowanych procesów przetwarzania danych osobowych przez ADO i przetwarzających. Rozporządzenie nie różnicuje obecnie obowiązków ADO i przetwarzających w zależności od określonego poziomu zagrożenia, wynikającego realizacji procesów przetwarzania danych. Powoduje to nałożenie jednakowych obowiązków na wszystkie podmioty przetwarzające dane, bez względu czy ryzyko ich przetwarzania jest wysokie czy niskie. ADO i przetwarzający będą obowiązani do przeprowadzenia podstawowej lub także rozszerzonej analizy zagrożeń przetwarzania danych osobowych, która obejmuje: 1) opis operacji przetwarzania danych osobowych objętych analizą, 2) identyfikację zagrożeń oraz oszacowanie prawdopodobieństwa ich wystąpienia podczas przetwarzania danych osobowych, 3) określenie środków technicznych i organizacyjnych ochrony przetwarzanych danych osobowych, odpowiednich do oszacowanego poziomu zagrożeń występującego podczas przetwarzania danych osobowych, 4) sprawozdanie z przeprowadzonej analizy zagrożeń przetwarzania danych osobowych. Listy celów i potencjalnych zagrożeń dla przeprowadzenia podstawowej i rozszerzonej analizy zagrożeń będą załącznikami do projektowanego rozporządzenia. Projektowane rozporządzenie będzie zawierało także katalogi technicznych i organizacyjnych środków ochrony danych osobowych odpowiednich do ograniczenia (minimalizacji) podstawowego i wysokiego poziomu zagrożeń występującego podczas realizacji procesów przetwarzania danych osobowych. Środki te będą 4

5 określone w sposób umożliwiający ich przejrzyste stosowanie i dokonanie oceny, czy zostały one zastosowane. W odniesieniu do powyższej propozycji zróżnicowania wymagań i stosowania środków ochrony danych na podstawowe i rozszerzone, w projektowanym rozporządzeniu określone będą również wymogi dotyczące prowadzenia dokumentacji przetwarzania danych zgodnie z art. 36 ust. 2 u.o.d.o. Obecne przepisy wymagają od wszystkich ADO i przetwarzających opracowania Polityki bezpieczeństwa oraz Instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych. W praktyce wymienione dokumenty są opracowywane przede wszystkim przez podmioty, dla których wypełnienie wymogów prawa ochrony danych osobowych ma ważne znaczenie w osiągnięciu ich celów biznesowych lub w wypełnieniu zadań publicznych. Dla tych podmiotów opracowanie takiej dokumentacji nie stanowi problemu, ponieważ stosowane przez nich metody zarządzania i rozwiązania organizacyjne zakładają tworzenie różnych polityk, instrukcji i procedur związanych z prowadzoną działalnością. Dla małych przedsiębiorców, w tym mikroprzedsiębiorców oraz osób fizycznych prowadzących jednoosobową działalność gospodarczą, opracowanie takiej dokumentacji stanowi duże obciążenie, zarówno organizacyjne, jak i finansowe, co w praktyce powoduje niewykonywanie tego obowiązku. Wobec powyższego Zespół proponuje wprowadzenie obowiązku prowadzenia Podstawowej dokumentacji przetwarzania danych osobowych przez wszystkich ADO i przetwarzających, w której zostaną zawarte zapisy dokumentujące wypełnianie podstawowych obowiązków przetwarzania i ochrony danych zgodnie z u.o.d.o. Natomiast podmioty, w których realizacja procesów przetwarzania danych osobowych powoduje wysoki poziom zagrożeń będą zobowiązane aby oprócz Podstawowej dokumentacji jako minimum prowadzić taką samą dokumentację jaka obowiązuje obecnie, a więc - Politykę bezpieczeństwa danych osobowych oraz Instrukcję zarządzania systemem informatycznym służącym do przetwarzania danych osobowych i jaką wcześniej posiadały, w ramach prowadzonego systemu zarządzania bezpieczeństwem danych osobowych (system taki powinien być zgodny z uznanymi metodykami i standardami). 5

6 Uproszczenie form wypełnienia wyżej wymienionych obowiązków jest istotną deregulacją obecnie obowiązujących wymogów. W opinii Zespołu deregulacja zmniejszy obciążenia podmiotów, w których przetwarzanie danych osobowych powoduje zagrożenia na poziomie podstawowym, a które wykonują obowiązki dotyczące zabezpieczenia danych osobowych. Przyczyni się także do wykonywania tych obowiązków przez znaczną liczbę podmiotów z tej grupy, które dotąd tego nie czynią. Zespół proponuje także aby w projektowanym rozporządzeniu znalazły się regulacje dotyczące realizacji wymogów, o których mowa w art. 38 u.o.d.o. Przepisy określać będą zasady i tryb przeprowadzania kontroli przetwarzania danych osobowych w systemie teleinformatycznym, zapewniające rozliczalność przetwarzania danych osobowych oraz przepisy określające sposób odnotowywania informacji niezbędnych do kontroli przetwarzania danych osobowych. W obowiązującym rozporządzeniu przepisy dotyczące realizacji wymogów określonych w art. 38 u.o.d.o. zawarte są w 7 i wprowadzają obowiązek odnotowywania w systemie informatycznym: daty wprowadzenia danych do systemu oraz identyfikatora osoby wprowadzającej dane. Przepisy tego samego paragrafu odnoszą się również do art. 32 ust. 3 i 33 ust. 1 u.o.d.o., dotyczących prawa do kontroli przetwarzania danych przez osobę, której dane dotyczą oraz realizacji obowiązku udzielania informacji tym osobom przez ADO. W opinii Zespołu oraz opinii reprezentantów wielu podmiotów (ADO) obecny zapis w 7 rozporządzenia jest nieczytelny oraz wprowadza niepotrzebne obowiązki związane z odnotowywaniem w systemie informatycznym informacji dotyczących: źródła pozyskania danych, informacji o odbiorcach podmiotach którym dane są przekazywane oraz informacji o sprzeciwie na przetwarzanie danych w celach marketingowych lub wobec przekazania jej danych innemu ADO. W art. 32 i 33 u.o.d.o. nie istnieje żadne wymaganie dotyczące odnotowywania takich informacji przez ADO w systemie informatycznym. Zgodnie z art. 32 ust. 5 u.o.d.o. osoba, której dane dotyczą ma możliwość raz na 6 miesięcy wystąpić do ADO z wnioskiem o udzielenie informacji na temat przetwarzania jej danych osobowych, w tym: w jaki sposób zebrano dane (informacje o źródle danych) w jakim zakresie oraz komu dane zostały udostępnione (informacje o odbiorcach danych) 6

7 Powyższe informacje, potrzebne do udzielenia odpowiedzi ADO może zapisywać w dowolnie prowadzonym przez niego rejestrze informatycznym lub papierowym, ale nie ma takiego obowiązku. Z kolei w art. 32 ust. 3 jest zapis dotyczący możliwości prowadzenia przez ADO rejestru osób, które wyraziły sprzeciw na przetwarzanie danych w celach marketingowych lub przekazywania ich innemu ADO. ADO ma więc wybór prowadzenia lub nie, takiego rejestru w celach kontrolnych, zarówno w formie papierowej lub informatycznej. Wobec powyższego proponujemy uporządkowanie zapisów w tym zakresie przez usunięcie w projektowanym rozporządzeniu odniesień do art. 32 oraz 33 u.o.d.o. a pozostawienia jedynie przepisów dotyczących realizacji wymagań art. 38 u.o.d.o., zwłaszcza że delegacja określona w art. 39a u.o.d.o. odnosi się jedynie do obowiązków zabezpieczenia danych osobowych zawartych w Rozdziale 5 art u.o.d.o. Taka propozycja ma także charakter deregulacyjny. Nie obniża poziomu ochrony danych osobowych. Zmniejsza natomiast koszty budowy i funkcjonowania systemu informatycznego oraz racjonalnie ogranicza wykonywanie czynności związane z odnotowywaniem informacji zgodnie z u.o.d.o. w tym systemie. Aby uniknąć problemów związanych z kolizją przepisów prawa, w tym możliwego braku zgodności, czy też odpowiedniości wymagań dotyczących zabezpieczania przetwarzanych informacji (w szczególności danych osobowych) oraz dublowania działań organizacyjnych zawartych w różnych przepisach, Zespół proponuje także zastosowanie w projektowanym rozporządzeniu przepisów odsyłających dla wypełnienia powyższych wymogów. W szczególności proponujemy zwolnienie z części wymogów podmioty zobowiązane do realizacji wymagań zarządzania bezpieczeństwem systemów teleinformatycznych na podstawie rozporządzenia Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz. U. z 2012 r., poz. 526) oraz Rozporządzenia Prezesa Rady Ministrów z dnia 20 lipca 2011r. w sprawie podstawowych wymagań bezpieczeństwa teleinformatycznego (Dz. U. z 2011 r., Nr 159, poz. 948). W opinii Zespołu Ekspertów obecna delegacja zawarta w art. 39a u.o.d.o. powinna uzyskać nowe brzmienie, przy okazji nowelizacji u.o.d.o. w ramach projektu deregulacji dla przedsiębiorców przygotowywanej przez Ministerstwo Gospodarki 7

8 (projekt ustawy o ułatwieniu warunków wykonywania działalności gospodarczej). Zmieniona delegacja powinna zawierać wytyczne wskazujące, że rozporządzenie ma bardziej regulować cele i zasady jakim ma odpowiadać zarządzanie bezpieczeństwem przetwarzania danych osobowych niż kazuistycznie normować jego poszczególne elementy. Ponadto, wytyczne powinny zawierać fakt, iż stopień sformalizowania wymagań i środków zarządzania bezpieczeństwem przetwarzania danych osobowych musi uwzględniać analizę zagrożeń dla przetwarzania określonych kategorii danych osobowych oraz wykonywania szczególnych operacji przetwarzania danych, a w przypadkach gdy skala zagrożeń związanych z przetwarzaniem jest mała, wymogi formalne powinny być wprowadzone tylko w niezbędnym zakresie. Wobec powyższego proponujemy zmianę art. 39a u.o.d.o. i dołączenie jej do projektu deregulacji Ministerstwa Gospodarki. Przedstawione poniżej nowe brzmienie tego przepisu zapewni pełną zgodność brzmienia delegacji ustawowej i nowych przepisów wykonawczych spełniających podane powyżej warunki: Art. 39a Minister właściwy do spraw administracji publicznej, po zasięgnięciu opinii Generalnego Inspektora, określi, w drodze rozporządzenia wymagania dla zarządzania bezpieczeństwem przetwarzania danych osobowych i wynikające z tego środki techniczne i organizacyjne, o których mowa w art. 36 ust. 1, sposób prowadzenia i zakres dokumentacji, o której mowa w art. 36 ust. 2 i sposób wykonywania kontroli, o której mowa w art. 38, uwzględniając zapewnienie ochrony przetwarzanych danych osobowych odpowiedniej do kategorii danych objętych ochroną oraz zagrożeń wynikających z operacji przetwarzania danych osobowych... Należy zaznaczyć, że w opinii Zespołu możliwe jest wydanie projektowanego rozporządzenia także na podstawie obowiązującej delegacji zawartej w art. 39a u.o.d.o. Opracował Zespół Ekspertów powołany przez GIODO w składzie: Maciej Byczkowski (Przewodniczący Zespołu), Piotr Dzwonkowski, Aleksander Frydrych, Małgorzata Michniewicz, Andrzej Rutkowski, dr Stefan Szyszko. 8

Przetwarzanie danych osobowych w chmurze

Przetwarzanie danych osobowych w chmurze Przetwarzanie danych osobowych w chmurze Obalamy mity Jarosław Żabówka 2 Dlaczego chronimy dane osobowe? Czy organizacja ma obowiązek dbać o swoje bezpieczeństwo? A dlaczego ja mam dbać o te dane, tylko

Bardziej szczegółowo

Ryzyko w Rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012r. w sprawie Krajowych Ram Interoperacyjności ( )

Ryzyko w Rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012r. w sprawie Krajowych Ram Interoperacyjności ( ) Ryzyko w Rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012r. w sprawie Krajowych Ram Interoperacyjności ( ) Dr inż. Elżbieta Andrukiewicz Przewodnicząca KT nr 182 Ochrona informacji w systemach teleinformatycznych

Bardziej szczegółowo

ABI nie tylko audytor i koordynator. Wykonywanie przez ABI innych obowiązków niż określone w ustawie o ochronie danych osobowych.

ABI nie tylko audytor i koordynator. Wykonywanie przez ABI innych obowiązków niż określone w ustawie o ochronie danych osobowych. ABI nie tylko audytor i koordynator Wykonywanie przez ABI innych obowiązków niż określone w ustawie o ochronie danych osobowych Andrzej Rutkowski Stowarzyszenie Administratorów Bezpieczeństwa Informacji

Bardziej szczegółowo

Zarządzanie bezpieczeństwem danych osobowych

Zarządzanie bezpieczeństwem danych osobowych Zarządzanie bezpieczeństwem danych osobowych - Praktyka wykonywania zadań ABI oraz konieczne zmiany statusu ABI i wymagań dotyczących cych bezpieczeństwa danych Agenda Działania ania SABI w sprawie zmiany

Bardziej szczegółowo

Zmiana obowiązków zabezpieczania danych osobowych

Zmiana obowiązków zabezpieczania danych osobowych Nowe obowiązki zabezpieczenia danych osobowych po nowelizacji ustawy o ochronie danych osobowych fakty i mity Maciej Byczkowski Stowarzyszenie Administratorów Bezpieczeństwa Informacji Zmiana obowiązków

Bardziej szczegółowo

Rodzaje danych (informacji) m.in.: Podmioty przetwarzające dane: podmioty publiczne, podmioty prywatne.

Rodzaje danych (informacji) m.in.: Podmioty przetwarzające dane: podmioty publiczne, podmioty prywatne. Rodzaje danych (informacji) m.in.: Dane finansowe Dane handlowe Dane osobowe Dane technologiczne Podmioty przetwarzające dane: podmioty publiczne, podmioty prywatne. Przetwarzane dane mogą być zebrane

Bardziej szczegółowo

Zastosowanie norm w ochronie danych osobowych. Biuro Generalnego Inspektora. Ochrony Danych Osobowych

Zastosowanie norm w ochronie danych osobowych. Biuro Generalnego Inspektora. Ochrony Danych Osobowych Zastosowanie norm w ochronie danych osobowych Andrzej Kaczmarek Biuro Generalnego Inspektora Ochrony Danych Osobowych 11. 05. 2009 r. Warszawa 1 Generalny Inspektor Ochrony Danych Osobowych ul. Stawki

Bardziej szczegółowo

Sz. P. Mariusz Haładyj Podsekretarz Stanu Ministerstwo Gospodarki

Sz. P. Mariusz Haładyj Podsekretarz Stanu Ministerstwo Gospodarki Warszawa, dn. 12.11.2013 r. Sz. P. Mariusz Haładyj Podsekretarz Stanu Ministerstwo Gospodarki Szanowny Panie Ministrze, W związku ze skierowaniem do konsultacji społecznych Projektu ustawy o ułatwieniu

Bardziej szczegółowo

MINISTERSTWO ADMINISTRACJI I CYFRYZACJI

MINISTERSTWO ADMINISTRACJI I CYFRYZACJI MINISTERSTWO ADMINISTRACJI I CYFRYZACJI S y s t e m Z a r z ą d z a n i a B e z p i e c z e ń s t w e m I n f o r m a c j i w u r z ę d z i e D e f i n i c j e Bezpieczeństwo informacji i systemów teleinformatycznych

Bardziej szczegółowo

Zadania Administratora Systemów Informatycznych wynikające z przepisów ochrony danych osobowych. Co ASI widzieć powinien..

Zadania Administratora Systemów Informatycznych wynikające z przepisów ochrony danych osobowych. Co ASI widzieć powinien.. Zadania Administratora Systemów Informatycznych wynikające z przepisów ochrony danych osobowych Co ASI widzieć powinien.. Czy dane osobowe są informacją szczególną dla Administratora Systemów IT? Administrator

Bardziej szczegółowo

Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001

Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001 Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001 na przykładzie Urzędu Miejskiego w Bielsku-Białej Gliwice, dn. 13.03.2014r. System Zarządzania Bezpieczeństwem

Bardziej szczegółowo

Praktyczne aspekty ochrony danych osobowych w ubezpieczeniach

Praktyczne aspekty ochrony danych osobowych w ubezpieczeniach Praktyczne aspekty ochrony danych osobowych w ubezpieczeniach - zagrożenia i środki zaradcze Maciej Byczkowski Agenda prezentacji Procesy przetwarzania danych osobowych w branży y ubezpieczeniowej Problemy

Bardziej szczegółowo

ADMISTRATOR BEZPIECZEŃSTWA INFORMACJI

ADMISTRATOR BEZPIECZEŃSTWA INFORMACJI ADMISTRATOR BEZPIECZEŃSTWA INFORMACJI ZAKRES DZIAŁAŃ SZCZEGÓŁOWE DZIAŁANIA Nowe regulacje dot. Administratora Bezpieczeństwa Informacji (ABI): o kompetencje; o status w hierarchii Administratora danych;

Bardziej szczegółowo

Szkolenie : Administrator Bezpieczeństwa Informacji (2 dni)

Szkolenie : Administrator Bezpieczeństwa Informacji (2 dni) ZRBS/45/2015 Warszawa, dnia 05.06. Szanowni Państwo, Zarząd Banku Spółdzielczego Związek Rewizyjny Banków Spółdzielczych im. F. Stefczyka realizując swoją statutową działalność przesyła ofertę na szkolenie

Bardziej szczegółowo

Analiza ryzyka jako podstawa zabezpieczenia danych osobowych Maciej Byczkowski Janusz Zawiła-Niedźwiecki

Analiza ryzyka jako podstawa zabezpieczenia danych osobowych Maciej Byczkowski Janusz Zawiła-Niedźwiecki Analiza ryzyka jako podstawa zabezpieczenia danych osobowych Maciej Byczkowski Janusz Zawiła-Niedźwiecki Centrum Informatyzacji II Konferencja Zabezpieczenie danych osobowych Nowa rola ABI aspekty organizacyjne

Bardziej szczegółowo

Warszawa, dnia 24 kwietnia 2015 r. Pozycja 14 ZARZĄDZENIE NR 14 MINISTRA SKARBU PAŃSTWA 1) z dnia 23 kwietnia 2015 r.

Warszawa, dnia 24 kwietnia 2015 r. Pozycja 14 ZARZĄDZENIE NR 14 MINISTRA SKARBU PAŃSTWA 1) z dnia 23 kwietnia 2015 r. DZIENNIK URZĘDOWY MINISTRA SKARBU PAŃSTWA Warszawa, dnia 24 kwietnia 2015 r. Pozycja 14 ZARZĄDZENIE NR 14 MINISTRA SKARBU PAŃSTWA 1) z dnia 23 kwietnia 2015 r. w sprawie ochrony danych osobowych w Ministerstwie

Bardziej szczegółowo

Promotor: dr inż. Krzysztof Różanowski

Promotor: dr inż. Krzysztof Różanowski Warszawska Wyższa Szkoła Informatyki Prezentacja do obrony pracy dyplomowej: Wzorcowa polityka bezpieczeństwa informacji dla organizacji zajmującej się testowaniem oprogramowania. Promotor: dr inż. Krzysztof

Bardziej szczegółowo

OCHRONA DANYCH OSOBOWYCH W PLACÓWKACH OŚWIATOWYCH. Nowelizacja Ustawy o ochronie danych osobowych (UODO) z dnia 1 stycznia 2015 r.

OCHRONA DANYCH OSOBOWYCH W PLACÓWKACH OŚWIATOWYCH. Nowelizacja Ustawy o ochronie danych osobowych (UODO) z dnia 1 stycznia 2015 r. OCHRONA DANYCH OSOBOWYCH W PLACÓWKACH OŚWIATOWYCH ZAKRES DZIAŁAŃ SZCZEGÓŁOWE DZIAŁANIA Nowelizacja przepisów z zakresu ochrony Nowelizacja Ustawy o ochronie (UODO) z dnia 1 stycznia 2015 r.: przyczyny

Bardziej szczegółowo

Rola audytu w zapewnieniu bezpieczeństwa informacji w jednostce. Marcin Dublaszewski

Rola audytu w zapewnieniu bezpieczeństwa informacji w jednostce. Marcin Dublaszewski bezpieczeństwa informacji w jednostce Marcin Dublaszewski Rola audytu w systemie bezpieczeństwa informacji Dobrowolność? Obowiązek? Dobrowolność Audyt obszaru bezpieczeństwa wynikać może ze standardowej

Bardziej szczegółowo

Krzysztof Świtała WPiA UKSW

Krzysztof Świtała WPiA UKSW Krzysztof Świtała WPiA UKSW Podstawa prawna 20 ROZPORZĄDZENIA RADY MINISTRÓW z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany

Bardziej szczegółowo

KRAJOWA KONFERENCJA OCHRONY DANYCH OSOBOWYCH

KRAJOWA KONFERENCJA OCHRONY DANYCH OSOBOWYCH KRAJOWA KONFERENCJA OCHRONY DANYCH OSOBOWYCH Justyna Buzała-Górska Adwokat tel. 22 651 60 31 fax 22 651 60 32 kom. 501 939 269 e-mail: office@jds.com.pl www.jds.com.pl, www.dane-osobowe.com 1 Administrator

Bardziej szczegółowo

DOBRE PRAKTYKI PRZETWARZANIA DANYCH OSOBOWYCH W SYSTEMACH INFORMATYCZNYCH ZAKŁADÓW UBEZPIECZEŃ. Andrzej Kaczmarek

DOBRE PRAKTYKI PRZETWARZANIA DANYCH OSOBOWYCH W SYSTEMACH INFORMATYCZNYCH ZAKŁADÓW UBEZPIECZEŃ. Andrzej Kaczmarek ZAKŁADÓW UBEZPIECZEŃ Andrzej Kaczmarek BIURO GENERALNEGO INSPEKTORA OCHRONY DANYCH OSOBOWYCH 11. 05. 2009 r. Warszawa 1 Generalny Inspektor Ochrony Danych Osobowych ul. Stawki 2, 00-193 Warszawa kancelaria@giodo.gov.pl

Bardziej szczegółowo

Praktyczny kurs dla Administratora Bezpieczeństwa Informacji

Praktyczny kurs dla Administratora Bezpieczeństwa Informacji Polskie Centrum Kadrowo - Płacowe zaprasza do udziału w szkoleniu pt.: Praktyczny kurs dla Administratora Bezpieczeństwa Informacji - przygotuj się do samodzielnego pełnienia funkcji Celem szkolenia jest

Bardziej szczegółowo

Przykładowy wzór Wystąpienia GIODO dotyczy zastosowanych środków bezpieczeństwa* Wystąpienie o dokonanie sprawdzenia

Przykładowy wzór Wystąpienia GIODO dotyczy zastosowanych środków bezpieczeństwa* Wystąpienie o dokonanie sprawdzenia Przykładowy wzór Wystąpienia GIODO dotyczy zastosowanych środków bezpieczeństwa*... oznaczenie administratora bezpieczeństwa informacji oraz jego adresu do korespondencji Wystąpienie o dokonanie sprawdzenia

Bardziej szczegółowo

Marcin Soczko. Agenda

Marcin Soczko. Agenda System ochrony danych osobowych a System Zarządzania Bezpieczeństwem Informacji - w kontekście normy PN-ISO 27001:2014 oraz Rozporządzenia o Krajowych Ramach Interoperacyjności Marcin Soczko Stowarzyszenie

Bardziej szczegółowo

POLITYKA BEZPIECZEŃSTWA w zakresie ochrony danych osobowych w ramach serwisu zgloszenia24.pl

POLITYKA BEZPIECZEŃSTWA w zakresie ochrony danych osobowych w ramach serwisu zgloszenia24.pl POLITYKA BEZPIECZEŃSTWA w zakresie ochrony danych osobowych w ramach serwisu zgloszenia24.pl SPIS TREŚCI I. POSTANOWIENIA OGÓLNE... 2 II. DEFINICJA BEZPIECZEŃSTWA INFORMACJI... 2 III. ZAKRES STOSOWANIA...

Bardziej szczegółowo

Warszawa, dnia 28 czerwca 2012 r. Poz. 93

Warszawa, dnia 28 czerwca 2012 r. Poz. 93 Warszawa, dnia 28 czerwca 2012 r. ZARZĄDZENIE MINISTRA SPRAWIEDLIWOŚCI z dnia 27 czerwca 2012 r. w sprawie wprowadzenia Polityki Bezpieczeństwa Informacji Ministerstwa Sprawiedliwości i sądów powszechnych

Bardziej szczegółowo

Obowiązki lekarza, lekarza dentysty wykonującego działalność leczniczą w ramach praktyki zawodowej związane z ochroną danych osobowych

Obowiązki lekarza, lekarza dentysty wykonującego działalność leczniczą w ramach praktyki zawodowej związane z ochroną danych osobowych Obowiązki lekarza, lekarza dentysty wykonującego działalność leczniczą w ramach praktyki zawodowej związane z ochroną danych osobowych Podstawa prawna: - ustawa z dnia 29 sierpnia 1997 r. o ochronie danych

Bardziej szczegółowo

OGÓLNOKRAJOWY REJESTR ADMINISTRATORÓW BEZPIECZEŃSTWA INFORMACJI

OGÓLNOKRAJOWY REJESTR ADMINISTRATORÓW BEZPIECZEŃSTWA INFORMACJI OGÓLNOKRAJOWY REJESTR ADMINISTRATORÓW BEZPIECZEŃSTWA INFORMACJI r. pr. Monika Młotkiewicz Departament Rejestracji ABI i Zbiorów Danych Osobowych Biuro Generalnego Inspektora Ochrony Danych Osobowych Generalny

Bardziej szczegółowo

Szkolenie otwarte 2016 r.

Szkolenie otwarte 2016 r. Warsztaty Administratorów Bezpieczeństwa Informacji Szkolenie otwarte 2016 r. PROGRAM SZKOLENIA: I DZIEŃ 9:00-9:15 Powitanie uczestników, ustalenie szczególnie istotnych elementów warsztatów, omówienie

Bardziej szczegółowo

mgr inż. Joanna Karczewska CISA, ISACA Warsaw Chapter Konsekwencje wyroku Trybunału Konstytucyjnego dla bezpieczeństwa informacji

mgr inż. Joanna Karczewska CISA, ISACA Warsaw Chapter Konsekwencje wyroku Trybunału Konstytucyjnego dla bezpieczeństwa informacji mgr inż. Joanna Karczewska CISA, ISACA Warsaw Chapter Konsekwencje wyroku Trybunału Konstytucyjnego dla bezpieczeństwa informacji Wyrok Trybunału Konstytucyjnego 2 Warszawa, dnia 9 kwietnia 2015 r. WYROK

Bardziej szczegółowo

Administrator bezpieczeństwa informacji, urzędnik do spraw ochrony danych osobowych, inspektor ochrony danych analiza porównawcza. dr Grzegorz Sibiga

Administrator bezpieczeństwa informacji, urzędnik do spraw ochrony danych osobowych, inspektor ochrony danych analiza porównawcza. dr Grzegorz Sibiga Administrator bezpieczeństwa informacji, urzędnik do spraw ochrony danych osobowych, inspektor ochrony danych analiza porównawcza dr Grzegorz Sibiga Dyrektywa 95/46/WE urzędnik ds. ochrony danych osobowych"

Bardziej szczegółowo

AuditSolutions OFERTA WSPÓŁPRACY. Bezpieczeństwo Informacji. Systemy Teleinformatyczne. Wymiana Informacji. Rozwiązania dla sektora publicznego

AuditSolutions OFERTA WSPÓŁPRACY. Bezpieczeństwo Informacji. Systemy Teleinformatyczne. Wymiana Informacji. Rozwiązania dla sektora publicznego AuditSolutions Rozwiązania dla sektora publicznego Bezpieczeństwo Informacji Systemy Teleinformatyczne Wymiana Informacji OFERTA WSPÓŁPRACY Nowy obowiązek w zakresie przetwarzania informacji szansa czy

Bardziej szczegółowo

Załącznik do zarządzenia nr 29/2005/2006 Obowiązuje od 23.06.2006 r. POLITYKA BEZPIECZEŃSTWA

Załącznik do zarządzenia nr 29/2005/2006 Obowiązuje od 23.06.2006 r. POLITYKA BEZPIECZEŃSTWA Załącznik do zarządzenia nr 29/2005/2006 Obowiązuje od 23.06.2006 r. POLITYKA BEZPIECZEŃSTWA ZESPÓŁ SZKÓŁ PLASTYCZNYCH W DĄBROWIE GÓRNICZEJ CZĘŚĆ OGÓLNA Podstawa prawna: 3 i 4 rozporządzenia Ministra Spraw

Bardziej szczegółowo

2015-06-21. 1. Wprowadzenie. 2. Czy powołanie ABI jest obowiązkowe? [ ] Powstało mylne, powszechne przekonanie o konieczności powołania ABI [ ]

2015-06-21. 1. Wprowadzenie. 2. Czy powołanie ABI jest obowiązkowe? [ ] Powstało mylne, powszechne przekonanie o konieczności powołania ABI [ ] Czy dyrektor placówki oświatowej powinien powołać administratora bezpieczeństwa informacji (ABI)? - specjalista ds. ochrony danych osobowych 2015-06-21 1. Wprowadzenie [ ] Powstało mylne, powszechne przekonanie

Bardziej szczegółowo

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia 29 kwietnia 2004 r.

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia 29 kwietnia 2004 r. Dz.U.2004.100.1024 ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych,

Bardziej szczegółowo

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia... r.

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia... r. projekt ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia... r. w sprawie szczegółowych warunków organizacyjnych i technicznych dla systemu teleinformatycznego służącego identyfikacji

Bardziej szczegółowo

Obowiązek powoływania Administratora Bezpieczeństwa Informacji

Obowiązek powoływania Administratora Bezpieczeństwa Informacji Obowiązek powoływania Administratora Bezpieczeństwa Informacji dr Marlena Sakowska- Baryła radca prawny Wydział Prawny w Departamencie Obsługi i Administracji Urzędu Miasta Łodzi Nowelizacja ustawy o ochronie

Bardziej szczegółowo

Bezpieczeństwo teleinformatyczne danych osobowych

Bezpieczeństwo teleinformatyczne danych osobowych Bezpieczna Firma Bezpieczeństwo teleinformatyczne danych osobowych Andrzej Guzik stopień trudności System informatyczny, w którym przetwarza się dane osobowe, powinien oprócz wymagań wynikających z przepisów

Bardziej szczegółowo

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH W SZKOLE PODSTAWOWEJ W CHRUŚLINIE

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH W SZKOLE PODSTAWOWEJ W CHRUŚLINIE POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH W SZKOLE PODSTAWOWEJ W CHRUŚLINIE Chruślina 19-03-2015r. 1 POLITYKA BEZPIECZEŃSTWA Administrator Danych Dyrektor Szkoły Podstawowej w Chruślinie Dnia 10-03-2015r.

Bardziej szczegółowo

OCHRONA DANYCH OSOBOWYCH W ADMINISTRACJI. Nowelizacja Ustawy o ochronie danych osobowych (UODO) z 1 stycznia 2015 r. informacje wstępne:

OCHRONA DANYCH OSOBOWYCH W ADMINISTRACJI. Nowelizacja Ustawy o ochronie danych osobowych (UODO) z 1 stycznia 2015 r. informacje wstępne: OCHRONA DANYCH OSOBOWYCH W ADMINISTRACJI ZAKRES DZIAŁAŃ SZCZEGÓŁOWE DZIAŁANIA W jakich aktach prawnych można znaleźć odpowiedzi na pytania związane z ochroną? źródła prawa; Nowelizacja przepisów z zakresu

Bardziej szczegółowo

KONIECZNE ZMIANY W PRZEPISACH ROZPORZĄDZENIA Z PUNKTU WIDZENIA GIODO

KONIECZNE ZMIANY W PRZEPISACH ROZPORZĄDZENIA Z PUNKTU WIDZENIA GIODO KONIECZNE ZMIANY W PRZEPISACH ROZPORZĄDZENIA Z PUNKTU WIDZENIA GIODO Andrzej Kaczmarek BIURO GENERALNEGO INSPEKTORA OCHRONY DANYCH OSOBOWYCH 11. 05. 2009 r. Warszawa Generalny Inspektor Ochrony Danych

Bardziej szczegółowo

Dane osobowe w data center

Dane osobowe w data center Dane osobowe w data center obowiązki klienta i obowiązki dostawcy Jarosław Żabówka 2 Dlaczego chronimy dane osobowe? A dlaczego ja mam dbać o te dane, tylko dlatego, że tak sobie ustawodawca wymyślił Prezes

Bardziej szczegółowo

POLITYKA BEZPIECZEŃSTWA KRAJOWEGO REJESTRU KLIENTÓW HOTELOWYCH sp. z o.o.. Art. 1 Postanowienia ogólne

POLITYKA BEZPIECZEŃSTWA KRAJOWEGO REJESTRU KLIENTÓW HOTELOWYCH sp. z o.o.. Art. 1 Postanowienia ogólne Załącznik nr 1 do Regulaminu KRKH sp. z o.o. POLITYKA BEZPIECZEŃSTWA KRAJOWEGO REJESTRU KLIENTÓW HOTELOWYCH sp. z o.o.. Art. 1 Postanowienia ogólne Zgodnie z art. 39a ustawy z dnia 29 sierpnia 1997 r.

Bardziej szczegółowo

SYSTEM OCHRONY DANYCH OSOBOWYCH W PRZEDSIĘBIORSTWIE INFORMACJE OGÓLNE

SYSTEM OCHRONY DANYCH OSOBOWYCH W PRZEDSIĘBIORSTWIE INFORMACJE OGÓLNE SYSTEM OCHRONY DANYCH OSOBOWYCH W PRZEDSIĘBIORSTWIE INFORMACJE OGÓLNE O prawidłowym systemie ochrony danych osobowych w przedsiębiorstwie można mówić wtedy, gdy dopełniane są wszystkie obowiązki administratora

Bardziej szczegółowo

ROZPORZĄDZENIE WYKONAWCZE KOMISJI (UE) NR

ROZPORZĄDZENIE WYKONAWCZE KOMISJI (UE) NR L 134/32 ROZPORZĄDZENIE WYKONAWCZE KOMISJI (UE) NR 463/2014 z dnia 5 maja 2014 r. ustanawiające, na mocy rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 223/2014 w sprawie Europejskiego Funduszu

Bardziej szczegółowo

OCHRONA DANYCH OSOBOWYCH W ADMINISTRACJI. Nowelizacja Ustawy o ochronie danych osobowych (UODO) z 1 stycznia 2015 r. informacje wstępne:

OCHRONA DANYCH OSOBOWYCH W ADMINISTRACJI. Nowelizacja Ustawy o ochronie danych osobowych (UODO) z 1 stycznia 2015 r. informacje wstępne: Kancelaria Lex Artist Ul. Oświatowa 14/8 01-366 Warszawa Tel. +48 22 253 28 18 e-mail: kancelaria@lex-artist.pl OCHRONA DANYCH OSOBOWYCH W ADMINISTRACJI ZAKRES DZIAŁAŃ SZCZEGÓŁOWE DZIAŁANIA W jakich aktach

Bardziej szczegółowo

Profesjonalny Administrator Bezpieczeństwa Informacji

Profesjonalny Administrator Bezpieczeństwa Informacji Polskie Centrum Kadrowo - Płacowe zaprasza do udziału w szkoleniu pt.: Profesjonalny Administrator Bezpieczeństwa Informacji Specjalistyczny kurs dla przyszłych i obecnych ABI Na kurs zapraszamy zarówno

Bardziej szczegółowo

DANE OSOBOWE TO WSZELKIE INFORMACJE DOTYCZĄCE: zidentyfikowanej osoby fizycznej

DANE OSOBOWE TO WSZELKIE INFORMACJE DOTYCZĄCE: zidentyfikowanej osoby fizycznej DANE OSOBOWE TO WSZELKIE INFORMACJE DOTYCZĄCE: zidentyfikowanej osoby fizycznej możliwej do zidentyfikowania osoby fizycznej, której tożsamość można określić bezpośrednio lub pośrednio, przez powołanie

Bardziej szczegółowo

POLITYKA BEZPIECZEŃSTWA

POLITYKA BEZPIECZEŃSTWA POLITYKA BEZPIECZEŃSTWA Administrator Danych... Imię i nazwisko właściciela firmy Dnia... data wdrożenia w przedsiębiorstwie o nazwie... Nazwa przedsiębiorstwa Zgodnie z ROZPORZĄDZENIEM MINISTRA SPRAW

Bardziej szczegółowo

REGULAMIN OCHRONY DANYCH OSOBOWYCH w Szkole Muzycznej I stopnia w Dobczycach

REGULAMIN OCHRONY DANYCH OSOBOWYCH w Szkole Muzycznej I stopnia w Dobczycach Załącznik nr 1 do zarządzenia Nr 10 KZ/ 2013 REGULAMIN OCHRONY DANYCH OSOBOWYCH w Szkole Muzycznej I stopnia w Dobczycach Podstawa prawna: 1. Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych

Bardziej szczegółowo

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM Gminna Biblioteka Publiczna w Zakrzówku ul. Żeromskiego 24 B, 23 213 Zakrzówek tel/fax: (81) 821 50 36 biblioteka@zakrzowek.gmina.pl www.gbp.zakrzowek.gmina.pl INSTRUKCJA ZARZĄDZANIA Obowiązuje od: 01

Bardziej szczegółowo

Projektowane zmiany prawne statusu Administratora Bezpieczeństwa Informacji (ABI) dr Grzegorz Sibiga

Projektowane zmiany prawne statusu Administratora Bezpieczeństwa Informacji (ABI) dr Grzegorz Sibiga Projektowane zmiany prawne statusu Administratora Bezpieczeństwa Informacji (ABI) dr Grzegorz Sibiga Aktualny stan prawny ABI Zgodnie z art. 36 ust. 3 u.o.d.o.. ABI nadzoruje przestrzeganie zasad technicznej

Bardziej szczegółowo

Certyfikowany kurs dla Administratorów Bezpieczeństwa Informacji (ABI) Szczegółowe zagadnienia

Certyfikowany kurs dla Administratorów Bezpieczeństwa Informacji (ABI) Szczegółowe zagadnienia Kancelaria Prawnicza Lex Artist Ul. Oświatowa 14/8 01-366 Warszawa Tel. +48 22 253 28 18 e-mail: kontakt@lex-artist.pl Certyfikowany kurs dla Administratorów Bezpieczeństwa Informacji (ABI) Temat Szczegółowe

Bardziej szczegółowo

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH Michał Serzycki D E C Y Z J A. DIS/DEC- 877/31613/09 dot. DIS-K-421/43/09

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH Michał Serzycki D E C Y Z J A. DIS/DEC- 877/31613/09 dot. DIS-K-421/43/09 GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH Michał Serzycki Warszawa, dnia 31 sierpnia 2009 r. DIS/DEC- 877/31613/09 dot. DIS-K-421/43/09 D E C Y Z J A Na podstawie art. 104 1 ustawy z dnia 14 czerwca

Bardziej szczegółowo

Kryteria merytoryczne dla działania 2.1 Wysoka dostępność i jakość e-usług publicznych Programu Operacyjnego Polska Cyfrowa na lata 2014-2020

Kryteria merytoryczne dla działania 2.1 Wysoka dostępność i jakość e-usług publicznych Programu Operacyjnego Polska Cyfrowa na lata 2014-2020 Kryteria merytoryczne dla działania 2.1 Wysoka dostępność i jakość e-usług publicznych Programu Operacyjnego Polska Cyfrowa na lata 2014-2020 Numer i nazwa osi priorytetowej Numer i nazwa działania/ poddziałania

Bardziej szczegółowo

WSKAZÓWKI DOTYCZĄCE WYPEŁNIANIA FORMULARZA ZGŁOSZENIA ZBIORU DANYCH DO REJESTRACJI

WSKAZÓWKI DOTYCZĄCE WYPEŁNIANIA FORMULARZA ZGŁOSZENIA ZBIORU DANYCH DO REJESTRACJI WSKAZÓWKI DOTYCZĄCE WYPEŁNIANIA FORMULARZA ZGŁOSZENIA ZBIORU DANYCH DO REJESTRACJI I. Informacje ogólne 1. Pobierana jest opłata skarbowa uiszczana, gotówką lub bezgotówkowo, za: - wydanie na wniosek administratora

Bardziej szczegółowo

MEMORANDUM INFORMACYJNE

MEMORANDUM INFORMACYJNE PRZEMYSŁAW R. STOPCZYK MAŁGORZATA GŁUSZEK STOPCZYK BARBARA TREFOŃ JABŁOŃSKA ANDŻELIKA MADEJ KOWAL ROBERT MIKULSKI ANDRZEJ FILIP MAŁGORZATA SIKORA BARTOSZ MARCINIAK AGNIESZKA ZWIERZYŃSKA PAULINA ŻABIŃSKA

Bardziej szczegółowo

Jak zorganizować szkolną infrastrukturę informatyczną (sieć informatyczną) Tadeusz Nowik

Jak zorganizować szkolną infrastrukturę informatyczną (sieć informatyczną) Tadeusz Nowik Jak zorganizować szkolną infrastrukturę informatyczną (sieć informatyczną) Tadeusz Nowik Program 1. Strategia bezpieczeństwa w szkole/placówce. 2. Realizacja polityki bezpieczeństwa infrastruktury IT.

Bardziej szczegółowo

SKZ System Kontroli Zarządczej

SKZ System Kontroli Zarządczej SKZ System Kontroli Zarządczej KOMUNIKAT Nr 23 MINISTRA FINANSÓW z dnia 16 grudnia 2009 r. w sprawie standardów kontroli zarządczej dla sektora finansów publicznych Na podstawie art. 69 ust. 3 ustawy z

Bardziej szczegółowo

Zakres aktualizacji PBI w świetle nowelizacji przepisów UODO obowiązujących w organizacji

Zakres aktualizacji PBI w świetle nowelizacji przepisów UODO obowiązujących w organizacji Zakres aktualizacji PBI w świetle nowelizacji przepisów UODO obowiązujących w organizacji -NOWE REGULACJE WYBORCZE 2014 Ustawa z dnia 5 stycznia 2011r. Kodeks wyborczy [Dz. U. 2011 nr 21 poz. 112] PRELEGENCI

Bardziej szczegółowo

Usprawnienie procesu zarządzania konfiguracją. Marcin Piebiak Solution Architect Linux Polska Sp. z o.o.

Usprawnienie procesu zarządzania konfiguracją. Marcin Piebiak Solution Architect Linux Polska Sp. z o.o. Usprawnienie procesu zarządzania konfiguracją Marcin Piebiak Solution Architect Linux Polska Sp. z o.o. 1 Typowy model w zarządzaniu IT akceptacja problem problem aktualny stan infrastruktury propozycja

Bardziej szczegółowo

OCHRONA DANYCH OSOBOWYCH

OCHRONA DANYCH OSOBOWYCH Styczeń 2016 issn 2391-5781 nr 16 OCHRONA DANYCH OSOBOWYCH Praktyczne porady Instrukcje krok po kroku Wzory Marketing nowych technologii dobre praktyki Kompetencje kontrolne GIODO wobec ABI Komu opłaca

Bardziej szczegółowo

Polityka Bezpieczeństwa i Ochrony Danych Osobowych przetwarzanych przez Instytut Filozofii i Socjologii Polskiej Akademii Nauk. z siedzibą w Warszawie

Polityka Bezpieczeństwa i Ochrony Danych Osobowych przetwarzanych przez Instytut Filozofii i Socjologii Polskiej Akademii Nauk. z siedzibą w Warszawie Polityka Bezpieczeństwa i Ochrony Danych Osobowych przetwarzanych przez Instytut Filozofii i Socjologii Polskiej Akademii Nauk z siedzibą w Warszawie wprowadzona Zarządzeniem Dyrektora IFiS PAN nr 5/2016

Bardziej szczegółowo

POLITYKA BEZPIECZEŃSTWA INFORMACJI 1-2 SPÓŁKA Z OGRANICZONĄ ODPOWIEDZIALNOŚCIĄ Z SIEDZIBĄ W WARSZAWIE

POLITYKA BEZPIECZEŃSTWA INFORMACJI 1-2 SPÓŁKA Z OGRANICZONĄ ODPOWIEDZIALNOŚCIĄ Z SIEDZIBĄ W WARSZAWIE Warszawa 2015-07-14 POLITYKA BEZPIECZEŃSTWA INFORMACJI Zgodnie z Ustawą o ochronie danych osobowych (Dz.U. 2014 poz. 1182) 1-2 SPÓŁKA Z OGRANICZONĄ ODPOWIEDZIALNOŚCIĄ Z SIEDZIBĄ W WARSZAWIE Spis treści:

Bardziej szczegółowo

Spis treści. Analiza Ryzyka Instrukcja Użytkowania

Spis treści. Analiza Ryzyka Instrukcja Użytkowania Maj 2013 Spis treści 1. Wprowadzenie... 3 2. Podstawy prawne... 4 3. Zasada działania programu... 6 4. Zgodność z analizą zagrożeń... 7 5. Opis programu... 8 5.1. Menu Górne... 9 5.2. Status... 10 5.3.

Bardziej szczegółowo

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM służącym do przetwarzania danych osobowych w Urzędzie Gminy Ostaszewo.

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM służącym do przetwarzania danych osobowych w Urzędzie Gminy Ostaszewo. Załącznik nr 2 do zarządzenia nr 39/2015 Wójta Gminy Ostaszewo z dnia 27 maja 2015 r. INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM służącym do przetwarzania danych osobowych w Urzędzie Gminy Ostaszewo

Bardziej szczegółowo

a) po 11 dodaje się 11a 11g w brzmieniu:

a) po 11 dodaje się 11a 11g w brzmieniu: Zarządzenie Nr 134/05 Starosty Krakowskiego z dnia 27 grudnia 2005r. - w sprawie zmiany Zarządzenia Starosty Krakowskiego Nr 40/99 z dnia 19 sierpnia 1999r. w sprawie ochrony danych osobowych, stosowanych

Bardziej szczegółowo

Opis znaczenia kryterium. Lp. Nazwa kryterium Opis kryterium. 1. Wnioskodawca przeprowadził inwentaryzację zasobów nauki objętych projektem.

Opis znaczenia kryterium. Lp. Nazwa kryterium Opis kryterium. 1. Wnioskodawca przeprowadził inwentaryzację zasobów nauki objętych projektem. Kryteria merytoryczne wyboru projektów dla poddziałania 2.3.1 Cyfrowe udostępnianie informacji sektora publicznego (ISP) ze źródeł administracyjnych oraz zasobów nauki Programu Operacyjnego Polska Cyfrowa

Bardziej szczegółowo

Opracowanie: Elżbieta Paliga Kierownik Biura Audytu Wewnętrznego Urząd Miejski w Dąbrowie Górniczej

Opracowanie: Elżbieta Paliga Kierownik Biura Audytu Wewnętrznego Urząd Miejski w Dąbrowie Górniczej Opracowanie: Elżbieta Paliga Kierownik Biura Audytu Wewnętrznego Urząd Miejski w Dąbrowie Górniczej Uregulowania prawne Ustawa z dnia 27 sierpnia 2009 roku o finansach publicznych (Dz.U. z 2013 r., poz.

Bardziej szczegółowo

Opis znaczenia kryterium. Lp. Nazwa kryterium Opis kryterium

Opis znaczenia kryterium. Lp. Nazwa kryterium Opis kryterium Kryteria merytoryczne wyboru projektów dla poddziałania 2.3.2 Cyfrowe udostępnienie zasobów kultury Programu Operacyjnego Polska Cyfrowa na lata 2014-2020 Typ projektu Cyfrowe udostępnienie zasobów kultury

Bardziej szczegółowo

Pierwszy rok doświadczeń w wykonywaniu nowej funkcji ABI sprawdzenia, rejestry, nadzór

Pierwszy rok doświadczeń w wykonywaniu nowej funkcji ABI sprawdzenia, rejestry, nadzór Pierwszy rok doświadczeń w wykonywaniu nowej funkcji ABI sprawdzenia, rejestry, nadzór Maciej Byczkowski Stowarzyszenie Administratorów Bezpieczeństwa Informacji Agenda Pierwszy rok nowej funkcji ABI -

Bardziej szczegółowo

weryfikację prawidłowości zapisów dokumentacji zgodnie z ustawą o ochronie danych osobowych (t.j. Dz. U. z 2014 r. poz. 1182 z późn.zm.

weryfikację prawidłowości zapisów dokumentacji zgodnie z ustawą o ochronie danych osobowych (t.j. Dz. U. z 2014 r. poz. 1182 z późn.zm. Poniżej przedstawiamy szczegółowy zakres usług dotyczących realizacji procedur z zakresu ochrony danych osobowych. AUDIT Audyt w placówce obejmuje w szczególności: weryfikację obszarów przetwarzania danych

Bardziej szczegółowo

projekt ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia... r.

projekt ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia... r. projekt ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia... r. w sprawie zakresu i warunków korzystania z Elektronicznej Platformy Usług Administracji Publicznej Na podstawie art. 19a

Bardziej szczegółowo

Szkolenie podstawowe z ustawy o ochronie danych osobowych dla wolontariuszy świadczących pomoc na rzecz podopiecznych Ośrodka Pomocy Społecznej

Szkolenie podstawowe z ustawy o ochronie danych osobowych dla wolontariuszy świadczących pomoc na rzecz podopiecznych Ośrodka Pomocy Społecznej Szkolenie podstawowe z ustawy o ochronie danych osobowych dla wolontariuszy świadczących pomoc na rzecz podopiecznych Ośrodka Pomocy Społecznej Dzielnicy Wola m. st. Warszawy Akty prawne z zakresu ochrony

Bardziej szczegółowo

Polityka Bezpieczeństwa Ochrony Danych Osobowych

Polityka Bezpieczeństwa Ochrony Danych Osobowych Polityka Bezpieczeństwa Ochrony Danych Osobowych w Urzędzie Gminy Klucze Wersja 1 Pieczęć firmowa: Opracował: Data: Zatwierdził: Data:.. 1 1. Wstęp... 3 2. Definicje... 4 3. Zadania ABI... 5 4. Wykaz budynków,

Bardziej szczegółowo

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH WRAZ Z INSTRUKCJA ZARZĄDZANIA ZINTEGROWANĄ PLATFORMĄ ELF24

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH WRAZ Z INSTRUKCJA ZARZĄDZANIA ZINTEGROWANĄ PLATFORMĄ ELF24 POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH WRAZ Z INSTRUKCJA ZARZĄDZANIA ZINTEGROWANĄ PLATFORMĄ ELF24 FIRMY ELF24 SP. Z O.O. SP. K. Z SIEDZIBĄ W POZNANIU Poznań, czerwiec 2015 SPIS TREŚCI SPIS TREŚCI...

Bardziej szczegółowo

INSTRUKCJA ZARZĄDZANIA SYSTEMAMI INFORMATYCZNYMI W COLLEGIUM MAZOVIA INNOWACYJNEJ SZKOLE WYŻSZEJ

INSTRUKCJA ZARZĄDZANIA SYSTEMAMI INFORMATYCZNYMI W COLLEGIUM MAZOVIA INNOWACYJNEJ SZKOLE WYŻSZEJ Załącznik nr 3 do Zarządzenia nr 1/2013 Rektora Collegium Mazovia Innowacyjnej Szkoły Wyższej z dnia 31 stycznia 2013 r. INSTRUKCJA ZARZĄDZANIA SYSTEMAMI INFORMATYCZNYMI W COLLEGIUM MAZOVIA INNOWACYJNEJ

Bardziej szczegółowo

Krajowa Konferencja Ochrony Danych Osobowych

Krajowa Konferencja Ochrony Danych Osobowych g Krajowa Konferencja Ochrony Danych Osobowych II. Human Resources 6. Wykorzystywanie technologii informatycznych w aspekcie globalizacji procesów zatrudniania prelegent Konrad Czaplicki 1 Globalne systemy

Bardziej szczegółowo

2 3 4 5 Polityki bezpieczeństwa danych osobowych w UMCS

2 3 4 5 Polityki bezpieczeństwa danych osobowych w UMCS ZARZĄDZENIE Nr 6/2012 Rektora Uniwersytetu Marii Curie-Skłodowskiej w Lublinie z dnia 7 lutego 2012 r. w sprawie ochrony danych osobowych przetwarzanych w Uniwersytecie Marii Curie-Skłodowskiej w Lublinie

Bardziej szczegółowo

Powiązania norm ISO z Krajowymi Ramami Interoperacyjności i kontrolą zarządczą

Powiązania norm ISO z Krajowymi Ramami Interoperacyjności i kontrolą zarządczą Powiązania norm ISO z Krajowymi Ramami Interoperacyjności i kontrolą zarządczą Punkt widzenia audytora i kierownika jednostki Agnieszka Boboli Ministerstwo Finansów w 22.05.2013 r. 1 Agenda Rola kierownika

Bardziej szczegółowo

SPRAWOZDANIE Z REALIZACJI W ROKU 2010 ZADAŃ KOMITETU AUDYTU DLA DZIAŁÓW ADMINISTRACJI RZĄDOWEJ, KTÓRYMI KIERUJE MINISTER INFRASTRUKTURY

SPRAWOZDANIE Z REALIZACJI W ROKU 2010 ZADAŃ KOMITETU AUDYTU DLA DZIAŁÓW ADMINISTRACJI RZĄDOWEJ, KTÓRYMI KIERUJE MINISTER INFRASTRUKTURY Załącznik do Uchwały Nr 1/2011 Komitetu Audytu z dnia 14 lutego 2011 r. w sprawie przyjęcia Sprawozdania z realizacji zadań Komitetu Audytu w roku 2010 SPRAWOZDANIE Z REALIZACJI W ROKU 2010 ZADAŃ KOMITETU

Bardziej szczegółowo

Wnioski i perspektywy dla przedsiębiorstw po najnowszych zmianach w polskiej ustawie o ochronie danych osobowych

Wnioski i perspektywy dla przedsiębiorstw po najnowszych zmianach w polskiej ustawie o ochronie danych osobowych KRAJOWA KONFERENCJA OCHRONY DANYCH Wnioski i perspektywy dla przedsiębiorstw po najnowszych zmianach w polskiej ustawie o ochronie danych osobowych Prowadzący mec. Jakub Wezgraj 1 Czy znacie Państwo aktualną

Bardziej szczegółowo

Wymagania dotyczące struktur baz danych osobowych oraz funkcjonalności zarządzających nimi aplikacji

Wymagania dotyczące struktur baz danych osobowych oraz funkcjonalności zarządzających nimi aplikacji Wymagania dotyczące struktur baz danych osobowych oraz funkcjonalności zarządzających nimi aplikacji (w świetle ustawy o ochronie danych osobowych z dnia 29 sierpnia 1997 r. - t. j. Dz. U. z 2002 r. Nr

Bardziej szczegółowo

z dnia 2014 r. w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych

z dnia 2014 r. w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych ROZPORZĄDZENIE Projekt, 18.12.2014 MINISTRA ADMINISTRACJI I CYFRYZACJI 1) z dnia 2014 r. w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych

Bardziej szczegółowo

Samodzielny audit z zakresu ochrony danych osobowych oraz przygotowanie do kontroli z Biura Generalnego Inspektora Ochrony Danych Osobowych

Samodzielny audit z zakresu ochrony danych osobowych oraz przygotowanie do kontroli z Biura Generalnego Inspektora Ochrony Danych Osobowych Samodzielny audit z zakresu ochrony danych osobowych oraz przygotowanie do kontroli z Biura Generalnego Inspektora Ochrony Danych Osobowych Wykładowca mgr prawa i mgr inż. elektronik Wacław Zimny audyt

Bardziej szczegółowo

Prawne, organizacyjne i techniczne aspekty budowy IIP w temacie zagospodarowanie przestrzenne

Prawne, organizacyjne i techniczne aspekty budowy IIP w temacie zagospodarowanie przestrzenne Prawne, organizacyjne i techniczne aspekty budowy IIP w temacie zagospodarowanie przestrzenne Magdalena Zagrzejewska Zastępca Dyrektora Departamentu Polityki Przestrzennej w Ministerstwie Infrastruktury

Bardziej szczegółowo

Nowy status i zakres obowiązków administratora bezpieczeństwa informacji Andrzej Kaczmarek. Biuro Generalnego Inspektora. Ochrony Danych Osobowych

Nowy status i zakres obowiązków administratora bezpieczeństwa informacji Andrzej Kaczmarek. Biuro Generalnego Inspektora. Ochrony Danych Osobowych Nowy status i zakres obowiązków administratora bezpieczeństwa informacji Andrzej Kaczmarek Biuro Generalnego Inspektora Ochrony Danych Osobowych 11. 05. 2009 r. Warszawa 1 Generalny Inspektor Ochrony Danych

Bardziej szczegółowo

Jakie są podstawowe obowiązki wynikające z ustawy o ochronie danych osobowych?

Jakie są podstawowe obowiązki wynikające z ustawy o ochronie danych osobowych? Jakie są podstawowe obowiązki wynikające z ustawy o ochronie danych osobowych? Przypomnijmy. Ustawa o ochronie danych osobowych określa zasady postępowania przy przetwarzaniu danych osobowych i prawa osób

Bardziej szczegółowo

Praktyczne warsztaty dla ABI i ADO, tworzenie, wdrażanie i nadzór nad systemem ochrony danych osobowych

Praktyczne warsztaty dla ABI i ADO, tworzenie, wdrażanie i nadzór nad systemem ochrony danych osobowych Praktyczne warsztaty dla ABI i ADO, tworzenie, wdrażanie i nadzór nad systemem Termin i miejsce szkolenia: 25-26 lutego 2016 r. Hotel Kotarz *** Spa & Wellness Brenna, ul. Wyzwolenia 40 http://www.kotarz.com/

Bardziej szczegółowo

adw. Łukasz Przebindowski Biuro Prawne KAMSOFT S.A.

adw. Łukasz Przebindowski Biuro Prawne KAMSOFT S.A. adw. Łukasz Przebindowski Biuro Prawne KAMSOFT S.A. Z problematyką EDM związane są przede wszystkim następujące akty prawne: Ustawa z dnia 6 listopada 2008 r. o prawach pacjenta i RPP (rozdział 7 Prawo

Bardziej szczegółowo

ZARZĄDZENIE NR 22. z dnia 2 lipca 2008 r.

ZARZĄDZENIE NR 22. z dnia 2 lipca 2008 r. REKTOR SZKOŁY GŁÓWNEJ HANDLOWEJ w Warszawie RB/56/08 ZARZĄDZENIE NR 22 z dnia 2 lipca 2008 r. w sprawie ochrony danych osobowych i baz danych przetwarzanych tradycyjnie i w systemach informatycznych Szkoły

Bardziej szczegółowo

W ustawie z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926, z późn. zm.) wprowadza się następujące zmiany:

W ustawie z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926, z późn. zm.) wprowadza się następujące zmiany: Art. W ustawie z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926, z późn. zm.) wprowadza się następujące zmiany: 1) w art. 12 pkt 4 otrzymuje brzmienie: 4) prowadzenie

Bardziej szczegółowo