Nowe obowiązki Administratora Bezpieczeństwa Informacji sprawdzenie

Transkrypt

1 Nowe obowiązki Administratora Bezpieczeństwa Informacji sprawdzenie tel wew. 227 Tomasz Karoń nauczyciel konsultant Administrator Bezpieczeństwa Informacji Obraz:

2 KIERUNKI REALIZACJI POLITYKI OŚWIATOWEJ NA ROK SZKOLNY 2015/2016 Wzmocnienie bezpieczeństwa dzieci i młodzieży, ze szczególnym uwzględnieniem dzieci ze specjalnymi potrzebami edukacyjnymi w młodzieżowych ośrodkach wychowawczych, młodzieżowych ośrodkach socjoterapii, specjalnych ośrodkach szkolno-wychowawczych, specjalnych ośrodkach wychowawczych, ośrodkach rewalidacyjno-wychowawczych. Obraz:

3 Ustawa o ochronie danych osobowych zwana dalej ustawą Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t. j. Dz. U. z 2015 r., poz z zm.) Obwieszczenie Marszałka Sejmu Rzeczypospolitej Polskiej z dnia 16 grudnia 2015 r. w sprawie ogłoszenia jednolitego tekstu ustawy o ochronie danych osobowych Link do tekstu ujednoliconego:

4 Ustawa zmieniająca: Zmiana ustawy o ochronie danych osobowych Ustawa z dnia 7 listopada 2014 r. o ułatwieniu wykonywania działalności gospodarczej (Dz. U. z 2014 r. poz. 1662) Termin wejścia w życie zmian: r. Zmiany ustawy o ochronie danych osobowych zawarto w artykułach: 9 oraz 35 (ABI) i 36 ustawy zmieniającej Link do treści ustawy zmieniającej: Obraz:

5 Ogólna informacja o zmianach w ustawie Zmiany mniejsze: Art. 43 ust 1 pkt 12 (dodany) ustawy nie są rejestrowane w GIODO zbiory, które nie są prowadzone z wykorzystaniem systemów informatycznych (papierowe). Art. 48 ustawy (zmieniony) ułatwienie przekazywania danych do państw trzecich tkz. wiążące reguły korporacyjne oraz klauzule standardowe. Zmiany większe dotyczące Administratora Bezpieczeństwa Informacji (ABI) Art. 12 pkt 4 (zmiana), art. 19b (dodanie), art. 36 ust 3 (uchylenie), art. 36a 36c (dodanie), art. 40 (zmiana), art. 46b 46f (dodanie) ustawy o ochronie danych osobowych. Art. 35 ustawy zmieniającej przepis przejściowy i dostosowujący ABI dotychczas powołany może pełnić obowiązki do 30 czerwca 2015 r.

6 Administrator bezpieczeństwa informacji Do zadań ABI należy między innymi (art. 36a ust 2): zapewnienie przestrzegania przepisów o ochronie danych osobowych, w szczególności poprzez: Sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych os. oraz opracowywanie sprawozdania dla administratora danych Nadzorowanie opracowywania i aktualizowania dokumentacji ochrony danych osobowych oraz przestrzeganie zasad w niej określonych Zapewnienie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych Sposób realizacji powyższych obowiązków określa rozporządzenie Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji (Dz. U. z 2015 r., poz. 745) zwane dalej rozporządzeniem o obowiązkach ABI.

7 Sprawdzenie i sprawozdanie Sprawdzenie dla ADO wykonywane jest w dwu trybach: sprawdzenia planowego, realizowanego według planu sprawdzeń sprawdzenia doraźnego w przypadku np. powzięcia informacji o naruszeniu ochrony Sprawdzenie jest realizowane dla GIODO na podstawie art. 19b ust 1, gdy GIODO zwróci się o to podając zakres i termin sprawdzenia Sprawozdanie przygotowane przez ABI powinno zawierać m.in. (art. 36c): Wykaz czynności podjętych przez ABI w toku sprawdzenia oraz imiona i nazwiska osób biorących udział w tych czynnościach Określenie przedmiotu i zakresu sprawdzenia Opis stanu faktycznego stwierdzonego w toku sprawdzenia oraz wszelkie informacje mające istotne znaczenie dla oceny zgodności przetwarzania danych osobowych z przepisami Stwierdzone przypadki naruszenia przepisów o ochronie danych osobowych w zakresie objętym sprawdzeniem wraz z działaniami przywracającymi stan zgodny z prawem

8 Dokumentowanie czynności w toku sprawdzenia (1) Zgodnie z 4 rozporządzenia o obowiązkach ABI czynności realizowane w toku sprawdzenia są dokumentowane. Dokumentowanie może w szczególności polegać na: utrwaleniu danych z systemu informatycznego służącego do przetwarzania lub zabezpieczania danych osobowych w formie wydruku lub zapisu na nośniku cyfrowym, sporządzeniu notatki: z wyjaśnień, oględzin, czynności związanych z dostępem do systemów informatycznych lub nośników, odebraniu wyjaśnień od osoby, której czynności objęto sprawdzeniem, sporządzeniu kopii otrzymanego dokumentu

9 Dokumentowanie czynności w toku sprawdzenia (2) Dokumentowanie może w szczególności polegać na: Sporządzeniu kopii obrazu wyświetlonego na ekranie urządzenia stanowiącego część systemu informatycznego sporządzeniu kopii zapisów W systemie informatycznym służącym do przetwarzania lub zabezpieczania danych osobowych czynności ABI mogą być wykonywane przy udziale osób upoważnionych do przetwarzania danych osobowych, a w szczególności osoby zarządzającej systemem. Dokumentacja może być sporządzana w postaci papierowej lub elektronicznej

10 Sprawdzenie doraźne Zgodnie z 3 ust. 2 pkt 2. rozporządzenia o obowiązkach ABI sprawdzenie doraźne podejmowane jest w przypadku nieprzewidzianym w planie sprawdzeń w sytuacji powzięcia lub uzasadnionego podejrzenia wystąpienia naruszenia ochrony danych osobowych. Realizacja tego sprawdzenia odbywa się podobnie jak sprawdzenia planowego, z tym że zgodnie z 6 ust. 3 pkt. 2 sprawozdanie przekazywane jest ADO niezwłocznie po zakończeniu sprawdzenia, zakres sprawdzenia dotyczy naruszenia ochrony danych osobowych. Zakres informacji, które zawierać powinno sprawozdanie określają przepisy art. 36c ustawy o ochronie danych osobowych.

11 Plan sprawdzeń Regulacje związane z planem sprawdzeń zawarto w ustępach: 3, 4, 5 i 6 paragrafu 3 rozporządzenia o obowiązkach ABI Plan sprawdzeń powinien określać: przedmiot, zakres, termin przeprowadzania poszczególnych sprawdzeń oraz sposób i zakres ich dokumentowania Zgodnie z 3 ust. 5 plan sprawdzeń jest przygotowywany przez ABI na okres nie krótszy niż kwartał nie dłuższy niż rok. Zgodnie z 3 ust. 6 raz na pięć lat sprawdzeniem powinny zostać objęte zbiory danych i systemy informatyczne służące do przetwarzania lub zabezpieczania danych osobowych. Zgodnie z 3 ust. 5 plan sprawdzeń jest przedstawiany Administratorowi Danych osobowych nie później niż na 2 tygodnie przed rozpoczęciem okresu objętego planem.

12 Sprawdzenie planowe Zakres, termin realizacji sprawdzenia planowego oraz sposób i zakres jego dokumentowania jest ustalany w planie sprawdzeń przez Administratora Bezpieczeństwa Informacji - 3 ust. 3 rozporządzenia o obowiązkach ABI Art. 36c. pkt. 7 mówi o opisie przypadków naruszenia przepisów o ochronie danych osobowych w zakresie objętym sprawdzeniem - widać komplementarność regulacji dotyczących okresów przed i po sprawdzeniu, w trakcie przygotowywania sprawozdania, skąd wynika wniosek, że zakres sprawdzenia po ustaleniu w planie nie może być zmieniany. Przed przygotowaniem planu warto się zastanowić nad wyborem sposobu i zakresu dokumentowania czynności z punktu widzenia czasu trwania samego sprawdzenia oraz później przygotowywania sprawozdania. Przeprowadzając sprawdzenie planowe warto pamiętać, że ma ono dokumentować proces przetwarzania danych osobowych, tak więc warto zadbać o odpowiednio szerokie źródła informacji.

13 Informacje Zaproszenie na warsztaty Ochrona danych osobowych w szkole/placówce r. tj. czwartek, godz.: RODN WOM, s. 238 Artykuł Sprawdzenie planowe w ochronie danych osobowych Jeden z najbliższych numerów czasopisma Częstochowski Biuletyn Oświatowy

14 Dziękuję za uwagę Administrator Bezpieczeństwa Informacji RODN WOM w Częstochowie Tomasz Karoń karoń@womczest.edu.pl Tel wew. 238