NOWE UJĘCIE OCHRONY DANYCH OBOWIĄZKI ADMINISTRATORA DANYCH OSOBOWYCH

Transkrypt

1 NOWE UJĘCIE OCHRONY DANYCH OBOWIĄZKI ADMINISTRATORA DANYCH OSOBOWYCH

2 Michał Cupiał administrator bezpieczeństwa informacji Warmińsko-Mazurski Urząd Wojewódzki

3 Nowe ujęcie ochrony danych Rozporządzenie (UE) 2016/679 Parlamentu Europejskiego i Rady z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE

4 Nowe ujęcie ochrony danych ogólne rozporządzenie o ochronie danych

5 Nowe ujęcie ochrony danych RODO

6 Nowe ujęcie ochrony danych GDPR

7 Nowe ujęcie ochrony danych Osiąganie celów: ochrona praw i wolności właścicieli danych przetwarzanie powinno być zgodne z prawem i rzetelne przejrzystość przetwarzania = cele przetwarzania danych osobowych powinny być wyraźne, uzasadnione i określone w momencie ich zbierania dane osobowe powinny być adekwatne, stosowne i ograniczone do tego, co niezbędne do celów

8 Nowe ujęcie ochrony danych Osiąganie celów: Dane osobowe powinny być przetwarzane w sposób zapewniający: odpowiednie bezpieczeństwo i poufność, w tym ochronę przed nieuprawnionym: dostępem do danych do sprzętu służącego ich przetwarzaniu korzystaniem z tych danych i z tego sprzętu

9 Nowe ujęcie ochrony danych Risk based approach

10 Nowe ujęcie ochrony danych Elastyczność

11 Nowe ujęcie ochrony danych Funkcjonalność

12 Nowe ujęcie ochrony danych Minimalizacja danych i operacji przetwarzania

13 Nowe ujęcie ochrony danych (nie) Ograniczanie kosztów

14 Nowe ujęcie ochrony danych Szansa na uproszczenie procesów komunikacji wewnętrznej i obiegu informacji

15 Plan działania: 1 Decyzja kto wdraża RODO Pracownik/zespół własny doszkolenie Zlecenie zadania wybór podmiotu lub osoby zatrudnienie

16 Plan działania: 2 Gdzie wdrażamy RODO Jednostka własna Jednostka własna i jednostki podległe doszkolenie wybór podmiotu zatrudnienie

17 Plan działania: 3 Inwentaryzacja zasobów Wszystkie aktywa służące przetwarzaniu danych osobowych

18 Plan działania: 4 określenie czynności przetwarzania danych osobowych Z uwzględnieniem: Procedur wewnętrznych (statut, regulaminy, instrukcja kancelaryjna ) Aktywów Zbiorów Zwyczajów

19 Plan działania: 4 określenie czynności przetwarzania danych osobowych Z oceną: Legalności Celowości Adekwatności Poprawności Ograniczenia czasowego

20 Privacy by default & design Uwzględnianie ochrony danych w fazie projektowania Domyślna ochrona danych

21 Plan działania: 5 analiza ryzyka Z uwzględnieniem: Procedur wewnętrznych (statut, regulaminy, instrukcja kancelaryjna ) Aktywów Zbiorów Zwyczajów

22 Analiza ryzyka a ocena skutków przetwarzania Analiza ryzyka Ocena skutków przetwarzania danych Z punktu widzenia bezpieczeństwa Analiza ryzyka z punktu widzenia naruszenia praw i wolności podmiotów danych Podstawa do ustalenia wymaganych zabezpieczeń Niewymagana (teoretycznie) dla zadań ustawowych wymagana dla zautomatyzowanego przetwarzania dużej ilości danych w tym wrażliwych i dotyczących skazań oraz monitorowania przestrzeni publicznej

23 Plan działania: 6 ustalenie zabezpieczeń Dla określonych czynności przetwarzania danych osobowych W tym także anonimizacja, pseudoanonimizacja, minimalizacja

24 Plan działania: 7 ustalenie procedur Na podstawie ustalonych wcześniej wymaganych zabezpieczeń i czynności przetwarzania Dla wielu czynności Dla 1 czynności

25 Obowiązek zgłaszania naruszenia ochrony danych osobowych Należy ustalić procedury informowania organu nadzorczego i podmiotów danych

26 Obowiązki ADO: dokumentacja ochrony danych osobowych i rejestr czynności przetwarzania Dokumentacja Rejestr czynności Procedury Zasady przetwarzania i ochrony DO Posiadam Nie posiadam Precyzja Funkcjonalność Dostosowanie wg innych kryteriów

27 Obowiązki ADO: zasada rozliczalności Udokumentowane uzasadnienie wybranych zabezpieczeń i metod przetwarzania danych Wdrożenie Analiza ryzyka Dobór zabezpieczeń i metod przetwarzania

28 Plan działania: 8 wdrożenie procedur

29 Plan działania: 9 szkolenie Szkolenie pracowników jako jedno z najważniejszych elementów zakończenia wdrożenia

30 Plan działania: 10 wybór IOD Pracownik własny Zlecenie zadania doszkolenie wybór podmiotu lub osoby zatrudnienie

31 Dziękuję za uwagę Michał Cupiał Administrator Bezpieczeństwa Informacji w Warmińsko-Mazurskim Urzędzie Wojewódzkim mcupial@uw.olsztyn.pl tel.: Kom.:

32 Podsumowanie 1 Decyzja kto wdraża RODO 2 Gdzie wdrażamy RODO 3 Inwentaryzacja zasobów 4 określenie czynności przetwarzania danych osobowych 6 ustalenie zabezpieczeń 7 ustalenie procedur 8 wdrożenie procedur 9 szkolenie 10 wybór IOD