PARTNER.

Transkrypt

1 PARTNER

2 Ochrona danych osobowych - szkolenie dla radców prawnych Szczecin, r.

3 Najnowsze przykłady ataków Źródło:

4 Najnowsze przykłady ataków Źródło:

5 Najnowsze przykłady ataków Źródło:

6 Ataki Źródło:

7 Ataki Źródło:

8 Źródło:

9 Źródło:

10 Źródło:

11 Zabezpieczenie danych a tajemnica zawodowa

12 Zabezpieczenie danych a tajemnica zawodowa Ustawa o radcach prawnych Kodeks etyki radców prawnych Regulamin wykonywania zawodu radcy prawnego

13 Zabezpieczenie danych a tajemnica zawodowa Art. 3 ustawy o radcach prawnych ust. 3. Radca prawny jest obowia zany zachowac w tajemnicy wszystko, o czym dowiedział sie w zwia zku z udzieleniem pomocy prawnej. ust. 4. Obowia zek zachowania tajemnicy zawodowej nie mozė byc ograniczony w czasie. ust. 5. Radca prawny nie mozė byc zwolniony z obowia zku zachowania tajemnicy zawodowej co do faktów, o których dowiedział sie udzielaja c pomocy prawnej lub prowadza c sprawe.

14 Zabezpieczenie danych a tajemnica zawodowa Art.9 Kodeksu Etyki Dochowanie tajemnicy zawodowej jest prawem i obowiązkiem radcy prawnego. Stanowi podstawę zaufania klienta i jest gwarancją praw i wolności.

15 Zabezpieczenie danych a tajemnica zawodowa Art. 12 Kodeksu Etyki 1. Radca Prawny zobowiązany jest wykonywać czynności zawodowe sumiennie oraz z należytą starannością uwzgledniającą profesjonalny charakter działania

16 Zabezpieczanie danych a tajemnica zawodowa Art.15 Ust. 1 Radca prawny jest obowiązany zachować w tajemnicy wszystkie informacje dotyczące klienta i jego spraw, ujawnione radcy prawnemu przez klienta bądź uzyskane w inny sposób w związku z wykonywaniem przez niego jakichkolwiek czynności zawodowych niezależnie od źródła tych informacji oraz formy i sposobu ich utrwalenia (tajemnica zawodowa)

17 Zabezpieczanie danych a tajemnica zawodowa Ust. 2 Tajemnica zawodowa obejmuje również wszystkie tworzone przez radcę prawnego dokumenty oraz korespondencję radcy prawnego z klientem i osobami uczestniczącymi w prowadzeniu sprawy powstałe dla celów związanych ze świadczeniem pomocy prawnej.

18 Zabezpieczenie danych a tajemnica zawodowa Art.23 KE Radca prawny obowiązany jest zabezpieczyć przed niepowołanym ujawnieniem wszelkie informacje objęte tajemnica zawodową, niezależnie od ich formy i sposobu utrwalenia.

19 Zabezpieczanie danych a tajemnica zawodowa Art. 35 KE - Można wykonywać czynności drogą elektroniczną, jeśli radca prawny: 6) Poprzez okresową archiwizację zabezpiecza i dba o dostępność danych przetwarzanych drogą elektroniczną 7) Chroni tajemnicę zawodową, informując w treści korespondencji elektronicznej o jej poufnym charakterze; Zabezpieczenie uważa się za należyte, jeżeli klient po uprzednim poinformowaniu go o zagrożeniach związanych z korzystaniem z drogi elektronicznej, domyślnie lub wyraźnie zaakceptował stosowane w komunikacji z nim środki, techniki, sposoby, systemy lub standardy komunikacji elektronicznej

20 Tajemnica zawodowa a ochrona danych osobowych

21 UODO a tajemnice zawodowe Art. 5 UODO Jeżeli przepisy odrębnych ustaw, które odnoszą się do przetwarzania danych, przewidują dalej idącą ich ochronę, niż wynika to z niniejszej ustawy, stosuje się przepisy tych ustaw.

22 Tajemnica zawodowa: radcowie prawni, adwokaci, notariusze, komornicy, sędziowie, prokuratorzy, biegli rewidenci doradcy podatkowi, i 40 dalszych zawodów.

23 Czy tajemnica zawodowa idzie dalej? Art. 5 - lex specialis derogat legi generali? nie dochodzi o uchylenia przepisu ogólnego w całości, ale tylko w takim zakresie, jakiego dotyczy norma szczególna zastosowanie przepisu o charakterze szczególnym w zakresie, w jakim dotyczy przetwarzania danych osobowych, w pozostałym zakresie należy stosować przepisy ustawy odo

24 Zwolnienia ustawowe Art. 43 ust. 1. Z obowiązku rejestracji zbioru danych zwolnieni są administratorzy danych: 2. przetwarzanych przez właściwe organy dla potrzeb postępowania sądowego oraz na podstawie przepisów o Krajowym Rejestrze Karnym 5. dotyczących osób korzystających z ich usług medycznych, obsługi notarialnej, adwokackiej, radcy prawnego, rzecznika patentowego, doradcy podatkowego lub biegłego rewidenta,

25 Ochrona danych osobowych Źródła prawa Podstawy przetwarzania Zakres stosowania ustawy i kluczowe pojęcia

26 Źródła prawa ochrony danych Ustawa z dnia 29 sierpnia 1997 roku o ochronie danych osobowych Rozporządzenie PE i Rady UE 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)

27 Źródła prawa ochrony danych Rozporządzenia Ministra Administracji i Cyfryzacji: z dnia 11 maja 2015 roku w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbiorów danych z dnia 11 maja 2015 roku w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji z dnia 10 grudnia 2014 roku w sprawie wzorów zgłoszeń powołania i odwołania administratora bezpieczeństwa informacji Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 roku w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych

28 Stosowanie ustawy Ustawa określa zasady postępowania przy przetwarzaniu danych osobowych oraz prawa osób fizycznych, których dane osobowe są lub mogą być przetwarzane w zbiorach danych. Ustawę stosuje się do przetwarzania danych osobowych: w kartotekach, skorowidzach, księgach, wykazach i w innych zbiorach ewidencyjnych, w systemach informatycznych, także w przypadku przetwarzania danych poza zbiorem danych.

29 Stosowanie ustawy Ustawę stosuje się do organów państwowych, organów samorządu terytorialnego oraz do państwowych i komunalnych jednostek organizacyjnych. Ustawę stosuje się również do: 1) podmiotów niepublicznych realizujących zadania publiczne, 2) osób fizycznych i osób prawnych oraz jednostek organizacyjnych niebędących osobami prawnymi, jeżeli przetwarzają dane osobowe w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych które mają siedzibę albo miejsce zamieszkania na terytorium Rzeczypospolitej Polskiej, albo w państwie trzecim, o ile przetwarzają dane osobowe przy wykorzystaniu środków technicznych znajdujących się na terytorium Rzeczypospolitej Polskiej.

30 System ochrony danych osobowych przetwarzanie danych osobowych w przypadkach wymienionych w ustawie uwzględnienie uprawnień podmiotu danych Zapewnienia jawności przetwarzania danych odpowiednie zabezpieczenie danych osobowych

31 Dane osobowe wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej osobą możliwą do zidentyfikowania jest taka, której tożsamość można określić bezpośrednio lub pośrednio informacji nie uważa się za umożliwiające określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań

32 Dane osobowe - przykłady Imię i nazwisko PESEL, NIP, numer dowodu osobistego Informacje o majątku Wykształcenie, przebieg kariery zawodowej Cechy osobowościowe, sposób spędzania wolnego czasu Wyniki badań medycznych, informacje o chorobach Adres IP, numer telefonu, adres

33 Zbiór danych każdy posiadający strukturę zestaw danych o charakterze osobowym dostępnych według określonych kryteriów niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie

34 Pracownicy Kandydaci do pracy Dłużnicy Potencjalni klienci Kontrahenci Odbiorcy newslettera Klienci Przykładowe zbiory danych osobowych Osoby składające reklamacje

35 jakiekolwiek operacje wykonywane na danych osobowych, takie jak: zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie Przetwarzanie danych osobowych a zwłaszcza te, które wykonuje się w systemach informatycznych

36 Administrator danych Podmiot decydujący o celach i środkach przetwarzania danych z powyższego pojęcia wyłączone są osoby fizyczne przetwarzające dane osobowe jedynie w celach osobistych lub domowych, bo do nich ustawy nie stosujemy, administratorem danych osobowych nie jest osoba zajmująca kierownicze stanowisko, czy pracownik, któremu powierzono przetwarzanie danych osobowych, nie jest konieczne, by administrator realizował wszystkie czynności składające się na pojęcie przetwarzania danych, wystarczy, że podejmuje decyzję, by przykładowo jedynie zbierać dane osobowe, nie jest administratorem danych procesor (podmiot, któremu powierzono przetwarzanie danych osobowych).

37 DOLiS/DEC- 570/13/32271,32276,32280,32284 Na podstawie ww. przepisu S. w celu dochodzenia ww. roszczeń powierzył Kancelarii dane osobowe Skarżących w zakresie, w jakim nimi dysponuje, zgodnie z umową z dnia [...] grudnia 2012 r. o współpracy, na mocy której zlecono Kancelarii, a ta zobowiązała się do świadczenia obsługi prawnej w zakresie dochodzenia należności od członków S. na drodze sądowej i egzekucyjnej. Stwierdzić należy, że umowa ta wypełniała przesłanki z art. 31 ust. 1 ustawy, gdyż została zawarta w formie pisemnej oraz określała zakres i cel powierzonych do przetwarzania danych. Podkreślić należy, że udostępnienie danych osobowych Skarżących między tymi podmiotami na podstawie ww. umowy powierzenia przetwarzania danych osobowych nie spowodowało zmiany administratora danych, którym nadal pozostaje S., natomiast Kancelaria przetwarza te dane wyłącznie w celu i zakresie przewidzianym we wskazanej umowie jako podmiot, o którym mowa w art. 31 ustawy. Zaznaczyć należy, że to powierzenie nie nakładało na S. obowiązku uzyskiwania zgody Skarżących na udostępnienie ich danych osobowych Kancelarii, bo uprawnienie administratora danych do podejmowania tych czynności wynikało z art. 31 ustawy.

38 Doradztwo podatkowe Księgowość Kadry i płace Usługi informatyczne Obsługa prawna Marketing Powierzenie Niszczenie dokumentów

39 Powierzenie przetwarzania danych Administrator może powierzyć innemu podmiotowi przetwarzanie danych: w oparciu o umowę na piśmie o przetwarzaniu danych wyłącznie w zakresie i celu przewidzianym w tej umowie podmiot, któremu powierzono dane zabezpiecza je zgodnie z wymaganiami u.o.d.o.

40 Inne ważne pojęcia Administrator bezpieczeństwa informacji (ABI) wyznaczona przez ADO i zarejestrowana w GIODO osoba, nadzorująca przestrzeganie zasad ochrony danych osobowych Administrator Systemu Informatycznego (ASI) zespół informatyków wyznaczony przez ADO, odpowiedzialny za prawidłowe funkcjonowanie systemów informatycznych, sprzętu, oprogramowania i jego konserwację

41 Zasady i przesłanki przetwarzania

42 Zasady przetwarzania Legalność Celowość Proporcjonalność Ograniczenie czasowe Merytoryczna poprawność

43 Kiedy można przetwarzać dane osobowe? Tylko w przypadkach wymienionych w ustawie gdy: osoba, której dane dotyczą, wyrazi na to zgodę, jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa, jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą, jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego, jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą

44 Dane osobowe wrażliwe dane ujawniające: pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również dane o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz dane dotyczące skazań i innych orzeczeń

45 Dane osobowe wrażliwe można przetwarzać gdy: osoba, której dane dotyczą, wyrazi na to zgodę na piśmie przepis innej ustawy zezwala na przetwarzanie takich danych bez zgody osoby, której dane dotyczą przetwarzanie takich danych jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą lub osób niepełnoletnich / ubezwłasnowolnionych jest to niezbędne do wykonania statutowych zadań kościołów, stowarzyszeń, fundacji, instytucji politycznych, naukowych, religijnych, związkowych

46 Cd. - Dane osobowe wrażliwe można przetwarzać, gdy: są one niezbędne do dochodzenia praw przed sądem dotyczą zatrudnienia pracowników i innych osób, a zakres przetwarzanych danych jest ustawowy dotyczą ochrony stanu zdrowia, świadczenia usług medycznych lub leczenia pacjentów, zarządzania udzielaniem usług medycznych dotyczą danych upublicznionych umożliwiają prowadzenie badań naukowych lub uzyskanie dyplomu lub stopnia naukowego jest prowadzone w celu realizacji praw i obowiązków wynikających z orzeczenia wydanego w postępowaniu sądowym lub administracyjnym

47 ABI

48 Wymogi kwalifikacyjne Administratorem bezpieczeństwa informacji może być osoba, która: ma pełną zdolność do czynności prawnych oraz korzysta z pełni praw publicznych posiada odpowiednią wiedzę w zakresie ochrony danych osobowych ABI nie osoba była karana fizycznaza umyślne przestępstwo Możliwość powoływania zastępców ABI

49 Pozycja ABI Kierownik jednostki organizacyjnej lub os. fiz. Będąca ADO Personel ABI ASI/ zastępca ABI

50 Zadania ABI Zapewnianie przestrzegania przepisów o ochronie danych osobowych, w szczególności przez: sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ODO oraz opracowanie w tym zakresie sprawozdania dla ADO nadzorowanie opracowania i aktualizowania dokumentacji ODO oraz przestrzegania zasad w niej określonych zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ODO Prowadzenie rejestru zbiorów danych Możliwość powierzenia ABI innych obowiązków, o ile nie naruszy to prawidłowego wykonywania powyższych zadań

51 Obowiązki administratora danych

52 Obowiązki administratora danych Przetwarzanie zgodnie z zasadami UODO Obowiązki informacyjne Obowiązki rejestracyjne Obowiązki dokumentacyjne Obowiązki zabezpieczenia danych Obowiązki kontrolne i nadzorcze

53 Obowiązki informacyjne administratora danych ADO zbiera dane od osoby, której dotyczą informuje o: adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna - o miejscu swojego zamieszkania oraz imieniu i nazwisku celu zbierania danych, a w szczególności o znanych mu w czasie udzielania informacji lub przewidywanych odbiorcach lub kategoriach odbiorców danych prawie dostępu do treści swoich danych oraz ich poprawiania dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje, o jego podstawie prawnej

54 Administrator zbiera dane nie od osoby, której dotyczą Moment informacji- bezpośrednio po utrwaleniu danych Obowiązku nie trzeba realizować, gdy: przepis innej ustawy przewiduje lub dopuszcza zbieranie danych osobowych bez wiedzy osoby, której dane dotyczą, dane te są niezbędne do badań naukowych, dydaktycznych, historycznych, statystycznych lub badania opinii publicznej, ich przetwarzanie nie narusza praw lub wolności osoby, której dane dotyczą, a spełnienie wymagań określonych w ust. 1 wymagałoby nadmiernych nakładów lub zagrażałoby realizacji celu badania, dane są przetwarzane przez administratora, o którym mowa w art. 3 ust. 1 i ust. 2 pkt 1, na podstawie przepisów prawa, osoba, której dane dotyczą, posiada informacje, o których mowa w ust. 1.

55 Uprawnienia podmiotu danych Prawo do informacji o: administratorze danych, przetwarzanych danych, celu i czasie ich przetwarzania, sposobie udostępniania danych oraz źródle ich pochodzenia 30 dni na udzielenie informacji, na żądanie zainteresowanego w formie pisemnej podmiot danych może korzystać z tego prawa raz na 6 miesięcy Prawo do poprawiania danych, wstrzymania ich przetwarzania lub usunięcia: jeżeli są one nieaktualne, niekompletne, nieprawdziwe zostały zebrane z naruszeniem ustawy albo są zbędne do realizacji celu, w jakim były zebrane jeżeli ADO nie realizuje tego prawa, to przysługuje wniosek do GIODO o nakazanie dopełnienia obowiązku w takim przypadku ADO musi poinformować bez zbędnej zwłoki innych ADO, którym udostępnił zbiór o uaktualnieniu lub sprostowaniu danych

56 Obowiązek rejestracyjny Zasada Obowiązek zgłaszania zbiorów danych przez ADO do rejestru prowadzonego przez GIODO Wyjątki określone w ustawie interpretowane wąsko Cel prowadzenia rejestru zapewnienie jawności zbierania danych oraz celu ich zbierania (każdy ma prawo przeglądać rejestr) ułatwienie GIODO realizacji jego kompetencji kontrolnych

57 Brak obowiązku zgłaszania zbiorów danych: przetwarzanych w związku z zatrudnieniem u ADO, świadczeniem im usług na podstawie umów cywilnoprawnych, a także dotyczących osób u nich zrzeszonych lub uczących się; dotyczących osób korzystających z ich usług medycznych, obsługi notarialnej, adwokackiej, radcy prawnego, rzecznika patentowego, doradcy podatkowego lub biegłego rewidenta; tworzonych na podstawie przepisów dotyczących wyborów do Sejmu, Senatu, Parlamentu Europejskiego, rad gmin, rad powiatów i sejmików województw, wyborów na urząd Prezydenta Rzeczypospolitej Polskiej, na wójta, burmistrza, prezydenta miasta oraz dotyczących referendum ogólnokrajowego i referendum lokalnego; dotyczących osób pozbawionych wolności na podstawie ustawy, w zakresie niezbędnym do wykonania tymczasowego aresztowania lub kary pozbawienia wolności

58 Brak obowiązku zgłaszania zbiorów danych: przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej; powszechnie dostępnych; przetwarzanych w celu przygotowania rozprawy wymaganej do uzyskania dyplomu ukończenia szkoły wyższej lub stopnia naukowego; przetwarzanych w zakresie drobnych bieżących spraw życia codziennego; przetwarzanych w zbiorach, które nie są prowadzone z wykorzystaniem systemów informatycznych, z wyjątkiem zbiorów zawierających dane, o których mowa w art. 27 ust. 1.

59 Dodatkowe zwolnienie Art. 43 ust. 1a: Obowiązkowi rejestracji zbiorów danych osobowych, z wyjątkiem zbiorów zawierających dane, o których mowa w art. 27 ust. 1, nie podlega administrator danych, który powołał administratora bezpieczeństwa informacji i zgłosił go Generalnemu Inspektorowi do rejestracji, z zastrzeżeniem art. 46e ust. 2. Korzyść z powołania ABI zwolnienie z obowiązku rejestracji zbiorów niezawierających danych wrażliwych w przypadku powołania i zgłoszenia ABI Korelat zwolnienia ADO z obowiązku rejestracji zbiorów obowiązek prowadzenia rejestru zbiorów przez ABI

60 Zabezpieczenie danych

61 Art Administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. Art Administrator danych prowadzi dokumentację opisującą sposób przetwarzania danych oraz środki, o których mowa w ust. 1. Art. 38. Administrator danych jest obowiązany zapewnić kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane.

62 Zabezpieczenie danych osobowych Środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych Dokumentacja przetwarzania danych

63 Zabezpieczenie danych osobowych Infrastruktura: Środki ochrony fizycznej Środki ochrony informatycznej Organizacja: Polityki i instrukcje Procedury Regulaminy

64 Bezpieczeństwo Poufność rozumie się przez to właściwość zapewniającą, że dane nie są udostępniane nieupoważnionym podmiotom Integralność rozumie się przez to właściwość zapewniającą, że dane osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany Rozliczalność rozumie się przez to właściwość zapewniającą, że działania podmiotu mogą być przypisane w sposób jednoznaczny tylko temu podmiotowi;

65 Dokumentacja ochrony danych osobowych Polityka bezpieczeństwa Instrukcja zarządzania systemem informatycznym

66 Polityka bezpieczeństwa To zestaw praw, reguł i praktycznych doświadczeń regulujących sposób zarządzania, ochrony i przepływu danych osobowych wewnątrz organizacji. Powinna odnosić się całościowo do problemu zabezpieczenia danych osobowych, tj.: do zabezpieczenia danych przetwarzanych tradycyjnie do danych przetwarzanych w systemach informatycznych Cel polityki bezpieczeństwa: wskazanie działań, jakie należy wykonać oraz ustanowienie zasad i reguł postępowania, które należy stosować, aby właściwie wykonać obowiązki administratora danych w zakresie zabezpieczenia danych osobowych.

67 PB Wyciąg zasad dla użytkowników Powołanie ABI/ASI Wykaz zbiorów danych Opis struktury zbiorów Lokalizacja przetwarzania Przepływ danych Zastosowane środki techniczne i organizacyjne Wzór upoważnień Ewidencja upoważnień Plan szkoleń Lista osób przeszkolonych Wzór umowy powierzenia Wzór oświadczeń i umów o poufności Plan sprawdzeń Wzór sprawozdania ze sprawdzenia Instrukcja alarmowa Rejestr powierzeń i udostępnień Wzory klauzul informacyjnych Wzór rejestru ABI

68 Upoważnienie upoważniam pana Jana Kowalskiego członka personelu Spółki XYZ do przetwarzania danych osobowych w następujących zbiorach i w następujących zakresach i systemach (tabela poniżej): Legenda: WG wgląd, W wprowadzanie, M modyfikacja, U usuwanie, A archiwizacja. Nazwa systemu informatycznego / zbioru Zbiór danych pracowników Zbiór kandydatów do pracy Zakres operacji przetwarzania DO W, WG, M, A W, WG, M, U

69 Ewidencja upoważnień Imię i nazwisko osoby upoważnionej Identyfikator Data nadania upoważnienia Data ustania upoważnienia Numer upoważnienia Jan Kowalski j. kowalski /2015

70 Instrukcja zarządzania systemem informatycznym Ogólne informacje o systemach informatycznych Opis zastosowanych zabezpieczeń Możliwe opracowanie kilku instrukcji w przypadku korzystania z kilku odmiennych systemów informatycznych Elementy określone w rozporządzeniu

71 Instrukcja zarządzania systemem informatycznym zawiera m.in.. procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych sposób, miejsce i okres przechowywania elektronicznych nośników informacji zawierających dane osobowe oraz kopii zapasowych

72 Poziomy zabezpieczeń DO w systemach informatycznych podstawowy w systemie informatycznym nie ma danych wrażliwych żadne z urządzeń służących do przetwarzania danych nie jest podłączone do sieci publicznej podwyższony w systemie informatycznym są przetwarzane dane wrażliwe żadne z urządzeń służących do przetwarzania danych nie jest podłączone do sieci publicznej wysoki przynajmniej jedno urządzenie służące do przetwarzania danych jest połączone z siecią publiczną

73 Poziom wysoki zabezpieczenie przed dostępem nieuprawnionych kontrola dostępu do systemu, odrębne identyfikatory, dostęp po uwierzytelnieniu system zabezpiecza się przed: wirusami, programami szpiegującymi utratą danych spowodowaną awarią zasilania lub zakłóceniami sieci przy korzystaniu z komputerów przenośnych zachowanie szczególnej ostrożności przy ich transporcie i przechowywaniu

74 Poziom wysoki identyfikator użytkownika, który utracił uprawnienia do przetwarzania danych, nie może być przydzielony innej osobie zmiana haseł następuje nie rzadziej niż co 30 dni. Składa się ono co najmniej z 8 znaków, zawiera małe i wielkie litery oraz cyfry lub znaki specjalne urządzenia i nośniki zawierające dane osobowe wrażliwe, które zabiera się poza obszar przetwarzania, zabezpiecza się w sposób zapewniający poufność i integralność tych danych

75 Poziom wysoki kopie zapasowe: przechowuje się w miejscach zabezpieczających je przed nieuprawnionym przejęciem, modyfikacją, uszkodzeniem lub zniszczeniem; usuwa się niezwłocznie po ustaniu ich użyteczności. urządzenia, dyski lub inne elektroniczne nośniki informacji, zawierające dane osobowe, przeznaczone do: likwidacji - pozbawia się wcześniej zapisu tych danych, a w przypadku gdy nie jest to możliwe, uszkadza się w sposób uniemożliwiający ich odczytanie; przekazania podmiotowi nieuprawnionemu do przetwarzania danych - pozbawia się wcześniej zapisu tych danych, w sposób uniemożliwiający ich odzyskanie; naprawy - pozbawia się wcześniej zapisu tych danych w sposób uniemożliwiający ich odzyskanie albo naprawia się je pod nadzorem osoby upoważnionej przez administratora danych.

76 Poziom wysoki System informatyczny służący do przetwarzania danych osobowych chroni się przed zagrożeniami pochodzącymi z sieci publicznej poprzez wdrożenie fizycznych lub logicznych zabezpieczeń chroniących przed nieuprawnionym dostępem. W przypadku zastosowania logicznych zabezpieczeń, o których mowa powyżej, obejmują one: kontrolę przepływu informacji pomiędzy systemem informatycznym administratora danych a siecią publiczną; kontrolę działań inicjowanych z sieci publicznej i systemu informatycznego administratora danych Administrator danych stosuje środki kryptograficznej ochrony wobec danych wykorzystywanych do uwierzytelnienia, które są przesyłane w sieci publicznej

77 Zabezpieczenia fizyczne Odpowiednia lokalizacja i zabezpieczenie pomieszczeń Ustalenie zasad dostępu do pomieszczeń osoby uprawnione do dostępu, zasady zamykania pomieszczeń (polityka kluczy) Szczególna uwaga: pomieszczenie serwerowni, pomieszczenie ASI, pomieszczenie, w którym przechowywane są kopie zapasowe Odpowiednie ustawienia monitorów (szczególna uwaga: przy oknach, w sekretariatach) Zasady niszczenia dokumentów i utylizacji elektronicznych nośników danych Polityka czystego ekranu i czystego biurka Wygaszacze ekranów, automatyczne wylogowywanie, filtry prywatyzujące Zasady kończenia pracy chowanie dokumentów, niszczenie zbędnych wydruków

78 Kontrola przestrzegania ustawy

79 Kontrola przestrzegania ustawy kontrola zgodności przetwarzania danych osobowych z przepisami ustawy należy do GIODO do kontroli upoważnieni przez GIODO pracownicy Biura GIODO kontrolujący muszą przedstawić legitymację służbową oraz upoważnienie do przeprowadzenia kontroli

80 KONTROLA GIODO zakres przedmiotowy przesłanki legalności przetwarzania zakres i cel przetwarzania merytoryczna poprawność danych i ich adekwatność do celu obowiązek informacyjny zgłoszenie zbioru do rejestracji zabezpieczenie danych

81 Uprawnienia kontrolerów wstępu, w godzinach od 6 do 22 do pomieszczenia, w którym zlokalizowany jest zbiór danych, oraz pomieszczenia, w którym przetwarzane są dane poza zbiorem danych przeprowadzenia niezbędnych badań lub innych czynności kontrolnych w celu oceny zgodności przetwarzania danych z ustawą żądania złożenia wyjaśnień przesłuchiwania osób wglądu do wszelkich dokumentów i wszelkich danych mających bezpośredni związek z przedmiotem kontroli oraz sporządzania ich kopii przeprowadzania oględzin urządzeń, nośników oraz systemów informatycznych służących do przetwarzania danych

82 Zakończenie kontroli sporządzany jest protokół, którego jeden egzemplarz pozostawiany jest u ADO ADO może zgłosić do protokołu zastrzeżenia wraz z ich uzasadnieniem w przypadku stwierdzenia uchybień kontroler występuje do GIODO o podjęcie dalszych kroków administracyjnych

83 Środki administracyjne podejmowane przez GIODO Decyzja administracyjna nakazująca przywrócenie stanu zgodnego z prawem jej przedmiotem może być w szczególności: usunięcie uchybień uzupełnienie, uaktualnienie, sprostowanie, udostępnienie lub nieudostępnienie danych osobowych zastosowanie dodatkowych środków zabezpieczających zgromadzone dane osobowe wstrzymanie przekazywania danych osobowych do państwa trzeciego zabezpieczenie danych lub przekazanie ich innym podmiotom usunięcie danych osobowych

84 Odpowiedzialność za naruszenia systemu ochrony danych osobowych

85 Sankcje karne GIODO ma obowiązek skierowania zawiadomienia o podejrzeniu przestępstwa wykrytego przy okazji swojej działalności obejmuje to przestępstwa sankcjonujące naruszenia ustawy o ochronie danych osobowych popełnione przez ADO lub jego pracownika

86 Sankcje karne Przetwarzanie danych osobowych bez uprawnienia Udostępnienie danych osobom nieupoważnionym Choćby nieumyślne naruszenie obowiązku zabezpieczenia danych przed zabranie przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem Zaniechanie zgłoszenia do rejestracji zbioru danych Zaniechanie poinformowania osoby której dane dotyczą o jej prawach lub przekazania jej informacji umożliwiających korzystanie z jej uprawnień Podlegają karze grzywny, ograniczenia wolności lub pozbawienia wolności do lat 3 lat

87 Rozporządzenie ogólne

88 Cele rozporządzenia Wysoki i spójny poziom ochrony osób fizycznych Usunięcie przeszkód w przepływie danych osobowych Pewność i przejrzystość prawa dla mikroprzedsiębiorców i MŚP Ujednolicenie poziomu prawnie egzekwowalnych praw Ujednolicenie poziomu obowiązków i zadań ADO i procesorów

89 Prawa podmiotu danych

90 Zasada przejrzystości Zasada - ADO podejmuje odpowiednie środki, aby w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem udzielić osobie, której dane dotyczą, wszelkich informacji Informacji udziela się na piśmie lub innymi sposobami, a w stosownym przypadku elektronicznie np. za pomocą strony internetowej Gdy komunikaty skierowane do dziecka tak prosty i łatwy język by dziecko mogło zrozumieć Administrator ułatwia osobie, której dane dotyczą, korzystanie z przysługujących jej praw

91 Zasada przejrzystości i prawa podmiotu danych Dwie grupy przepisów Dotyczące obowiązków informacyjnych (art. 13 i art. 14) Dotyczące uprawnień podmiotów danych (art ) prawo: dostępu, do poprawienia, do usunięcia, do ograniczenia przetwarzania, do przenoszenia danych, do sprzeciwu, do niepodlegania profilowaniu Realizacja w/w obowiązków i uprawnień co do zasady wolna od opłat

92 Administrator (i podmiot przetwarzający) OBOWIĄZKI

93 Obowiązki Uwzględnianie ochrony danych w fazie projektowania oraz domyślna ochrona danych ADO wdraża odpowiednie środki techniczne i organizacyjne takie jak pseudonimizacja, zaprojektowane w celu skutecznej realizacji zasad ochrony danych aby domyślnie przetwarzane były wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia każdego konkretnego celu przetwarzania

94 Szacowanie zagrożeń właściwych dla przetwarzania danych i ich skutków Przed wdrożeniem zabezpieczeń ADO musi ocenić prawdopodobieństwo i wagę zagrożenia dla praw i wolności osoby, której dane dotyczą Co decyduje? charakter DO, zakres DO, skala, sposób i cel przetwarzania, źródło DO Rozporządzenie zachowuje technologiczną neutralność Sprawdzone rozwiązania zatwierdzone kodeksy postępowania, certyfikacja, wytyczne Europejskiej Rady Ochrony Danych, sugestie DPO;

95 Bezpieczeństwo przetwarzania ADO i procesor wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić poziom bezpieczeństwa odpowiadający zagrożeniom uwzględniając pseudonimizację i szyfrowanie danych osobowych; zdolność do zapewnienia na bieżąco poufności, integralności, dostępności i odporności systemów i usług przetwarzających dane osobowe; zdolność do szybkiego przywrócenia dostępności danych i dostępu do nich w razie incydentu fizycznego lub technicznego; regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

96 Obowiązki Rejestrowanie czynności przetwarzania ADO prowadzi rejestr podlegających mu czynności przetwarzania danych osobowych. W rejestrze tym zamieszcza się następujące informacje: imię i nazwisko lub nazwę oraz dane kontaktowe ADO oraz wszelkich współadministratorów, przedstawiciela administratora oraz DPO; cele przetwarzania; opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych; kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, planowane terminy usunięcia poszczególnych kategorii danych; ogólny opis technicznych i organizacyjnych środków bezpieczeństwa;

97 Zgłaszanie naruszenia ochrony danych osobowych organowi nadzorczemu W przypadku naruszenia ODO, ADO bez zbędnej zwłoki jeżeli to wykonalne, nie później niż 72 h po stwierdzeniu naruszenia zgłasza je organowi nadzorczemu chyba że jest mało prawdopodobne, by naruszenie to skutkowało zagrożeniem dla praw i wolności osób fizycznych do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia

98 Zawiadamianie osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych Jeżeli naruszenie ochrony danych osobowych może nieść duże zagrożenie dla praw i wolności osób fizycznych, ADO bez zbędnej zwłoki zawiadamia podmiot danych o takim naruszeniu. Zawiadomienie napisane jasnym i prostym językiem Zawiadomienie nie jest wymagane, jeżeli: ADO wdrożył odpowiednie techniczne i organizacyjne środki ochrony i środki te zostały zastosowane do danych, których dotyczy naruszenie; ADO przedsięwziął następnie środki eliminujące prawdopodobieństwo dużego zagrożenia dla praw i wolności osoby, której dane dotyczą, lub wymagałoby ono niewspółmiernie dużego wysiłku.

99 Inspektor ochrony danych Obligatoryjne powołanie inspektora ochrony danych (DPO), gdy: przetwarzania dokonuje organ lub podmiot publiczny (z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości) główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą na dużą skalę główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę danych osobowych szczególnych kategorii, a także danych o wyrokach skazujących i o przestępstwach.

100 Administracyjne kary pieniężne Możliwość nakładania kar organ nadzorczy Nałożenie kary i jej wysokość: Zależne od okoliczności Oceniane indywidualnie Stosowane obok lub zamiast środków określonych w art. 58 ust. 2 RODO

101 Administracyjne kary pieniężne Naruszenia przepisów dotyczących następujących kwestii podlegają zgodnie administracyjnej karze pieniężnej w wysokości do: EUR, a w przypadku przedsiębiorstwa w wysokości do 2 % lub EUR, ao w przypadku przedsiębiorstwa w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa:

102 DZIĘKUJEMY ZA UWAGĘ! dr Dominik Lubasz radca prawny tel. kom.: Katarzyna Witkowska prawnik tel. kom.: