Inspektor Ochrony Danych w podmiotach publicznych

Transkrypt

1 Inspektor Ochrony Danych w podmiotach publicznych Magdalena Gąsior Zastępca Administratora Bezpieczeństwa Informacji Warmińsko-Mazurski Urząd Wojewódzki w Olsztynie

2 Wyznaczenie IOD ZAWSZE gdy: Przetwarzania dokonują organ lub podmiot publiczny niezależnie od zakresu przetwarzanych danych owyjątek: sądy w zakresie sprawowania wymiaru sprawiedliwości Administrator danych, który wyznaczył IOD, zawiadamia Prezesa Urzędu Ochrony Danych Osobowych w terminie 14 dni od dnia wyznaczenia, wskazując imię, nazwisko, adres poczty elektronicznej lub numer telefonu inspektora Administrator danych podaje dane inspektora ochrony danych do publicznej wiadomości

3 W rozumieniu art. 5 2 pkt 3 KPA: ministrowie; centralne organy administracji rządowej; Podmioty publiczne Wojewodowie i działające w ich lub we własnym imieniu inne terenowe organy administracji rządowej (zespolonej i niezespolonej); organy jednostek samorządu terytorialnego, organy państwowe oraz inne podmioty, gdy są one powołane z mocy prawa lub na podstawie porozumień.

4 Podmioty publiczne W rozumieniu art. 9 ustawy o finansach publicznych: organy władzy publicznej, w tym organy administracji rządowej, organy kontroli państwowej i ochrony prawa oraz sądy i trybunały; jednostki samorządu terytorialnego oraz ich związki; związki metropolitalne; jednostki budżetowe; samorządowe zakłady budżetowe; agencje wykonawcze; instytucje gospodarki budżetowej; państwowe fundusze celowe; ZUS i zarządzane przez niego fundusze oraz KRUS i fundusze zarządzane przez Prezesa Kasy Rolniczego Ubezpieczenia Społecznego; Narodowy Fundusz Zdrowia; samodzielne publiczne zakłady opieki zdrowotnej; uczelnie publiczne; Polska Akademia Nauk i tworzone przez nią jednostki organizacyjne; państwowe i samorządowe instytucje kultury; inne państwowe lub samorządowe osoby prawne utworzone na podstawie odrębnych ustaw w celu wykonywania zadań publicznych, z wyłączeniem przedsiębiorstw, instytutów badawczych, banków i spółek prawa handlowego.

5 Wymagania i kwalifikacje Kwalifikacje zawodowe Wiedza fachowa na temat prawa i praktyk w dziedzinie ochrony danych Umiejętność wypełniania zadań

6 Wymagania i kwalifikacje Odpowiednia wiedza z zakresu krajowych i europejskich przepisów o ochronie danych osobowych (RODO, KRI, Normy ISO, eprivacy, dyrektywa policyjna) Regularne szkolenia dla IOD Wiedza na temat procesów przetwarzania danych, systemów informatycznych oraz zabezpieczeń stosowanych u administratora i jego potrzeb w zakresie ochrony danych Wiedza w zakresie procedur administracyjnych i funkcjonowania jednostki Umiejętności interpersonalne i umiejętność wykonywania zadań

7 Status IOD w organizacji Gwarancje niezależności bezpośrednia podległość najwyższemu kierownictwu zapewnienie udziału we wszystkich zagadnieniach związanych z ochroną danych osobowych wspieranie w wypełnianiu jego zadań zakaz wydawania instrukcji co do wykonywania przez niego zadań unikanie konfliktu interesów (nie może zajmować w organizacji stanowiska związanego z określaniem sposobów i celów przetwarzania danych) zakaz odwoływania i karania za wypełnianie zadań zobowiązanie do zachowania tajemnicy lub poufności co do wykonywania zadań zorganizowanie systemu ochrony danych osobowych i polityki bezpieczeństwa informacji w jednostki zależy w dużej mierze od działalności IOD

8 Wspieranie w wypełnianiu zadań IOD Wymiar czasu umożliwiający wykonywanie zadań Wsparcie finansowe, infrastrukturalne i kadrowe (pomieszczenia, sprzęt, wyposażenie, wynagrodzenie, szkolenia) Umożliwienie dostępu do innych działów w jednostce: IT, kadry, prawny, ochrona w celu zapewnienia przepływu informacji i zapewnienia wsparcia IOD Oficjalne zakomunikowanie pracownikom faktu wyznaczenia IOD Powołanie zespołu inspektora ochrony danych Im bardziej skomplikowane procesy przetwarzania danych, tym więcej środków należy przeznaczyć na IOD.

9 Gwarancje niezależności zakaz wydawania instrukcji co do wykonywania przez niego zadań (co robić, kiedy, w jaki sposób) zakaz odwoływania i karania za wypełnianie zadań (obawa przed nałożeniem kary może być wystarczająca do utrudnienia wykonywania zadań) Normalne traktowanie na podstawie odrębnych przepisów (kodeks pracy, kodeks karny, wewnętrzne regulacje)

10 Unikanie konfliktu interesów IOD nie może zajmować w organizacji stanowiska związanego z określaniem sposobów i celów przetwarzania danych IOD nie może być: dyrektor generalny, dyrektor wydziału (referatu), sekretarz, kierownicy komórek organizacyjnych

11 Status IOD w organizacji Gwarancje niezależności bezpośrednia podległość najwyższemu kierownictwu wspieranie w wypełnianiu jego zadań zapewnienie udziału we wszystkich zagadnieniach związanych z ochroną danych osobowych zakaz wydawania instrukcji co do wykonywania przez niego zadań unikanie konfliktu interesów (nie może zajmować w organizacji stanowiska związanego z określaniem sposobów i celów przetwarzania danych) zakaz odwoływania i karania za wypełnianie zadań zobowiązanie do zachowania tajemnicy lub poufności co do wykonywania zadań zorganizowanie systemu ochrony danych osobowych i polityki bezpieczeństwa informacji w jednostki zależy w dużej mierze od działalności IOD

12 IOD forma zatrudnienia umowa o pracę zlecenie umowa z podmiotem zewnętrznym

13 Kilka organów lub podmiotów publicznych - jeden IOD

14 ZADANIA - katalog otwarty 1. monitorowanie przestrzegania RODO i dalszych przepisów: gromadzenie informacji w celu identyfikacji procesów przetwarzania, analiza i sprawdzanie zgodności tego przetwarzania informowanie, doradzanie i rekomendowanie 2. zwiększanie świadomości o obowiązkach spoczywających na nich na podstawie RODO i innych przepisów, szkolenia personelu oraz powiązane z tym audyty 3. udzielanie zaleceń, opiniowanie na żądanie oceny skutków przetwarzania (art. 35), np. w zakresie: czy przeprowadzać ocenę, czy wykonać samemu, czy zlecać metodologii zabezpieczeń stosowanych do łagodzenia zagrożeń prawidłowości przeprowadzonej oceny i zgodności wyników z RODO 4. współpraca z organem nadzorczym, funkcja punktu kontaktowego, prowadzenie uprzednich konsultacji 5. działanie w oparciu o analizę ryzyka związanego z operacjami przetwarzania, z uwzględnieniem charakteru, zakresu, kontekstu i celu przetwarzania

15 Zadania ABI Ograniczenie w przepisach do dwóch zadań: 1. zapewniania przestrzegania przepisów o ochronie danych osobowych, w szczególności przez: sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych, nadzorowanie opracowania i aktualizowania dokumentacji, o której mowa w art. 36 ust. 2, oraz przestrzegania zasad w niej określonych, zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych; 2. prowadzenie rejestru zbiorów danych przetwarzanych przez administratora danych. Przepisy wykonawcze określają sposób i tryb wykonywania zadań

16 ABI IOD Obowiązkowe powołanie IOD w podmiotach publicznych Odpowiedni poziom wiedzy fachowej i kwalifikacje współmierne do procesów przetwarzania danych; umiejętność wykonywania zadań Gwarancja niezależności w strukturze organizacji i w wykonywaniu zadań Jeden IOD może być powołany dla kilku podmiotów System ochrony danych wprowadzony w oparciu o analizę ryzyka IOD ma znaczący wpływ na system ochrony danych w jednostce, jest jego współtwórcą

17 Dziękuję za uwagę Magdalena Gąsior Zastępca ABI