KONIECZNE ZMIANY W PRZEPISACH ROZPORZĄDZENIA Z PUNKTU WIDZENIA GIODO

Podobne dokumenty
ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia 29 kwietnia 2004 r.

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI (1) z dnia 29 kwietnia 2004 r.

Przykładowy wzór Wystąpienia GIODO dotyczy zastosowanych środków bezpieczeństwa* Wystąpienie o dokonanie sprawdzenia

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

INSTRUCKJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

POLITYKA BEZPIECZEŃSTWA

Bezpieczeństwo teleinformatyczne danych osobowych

Jakie są podstawowe obowiązki wynikające z ustawy o ochronie danych osobowych?

PARTNER.

CO ZROBIĆ ŻEBY RODO NIE BYŁO KOLEJNYM KOSZMAREM DYREKTORA SZKOŁY? mgr inż. Wojciech Hoszek

Załącznik Nr 2 do ZARZĄDZENIA NR 568/2016 PREZYDENTA MIASTA SOPOTU z dnia 12 maja 2016 r. INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

Przykładowy wykaz zbiorów danych osobowych w przedszkolu

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM służącym do przetwarzania danych osobowych w Urzędzie Gminy Ostaszewo.

Zadania Administratora Systemów Informatycznych wynikające z przepisów ochrony danych osobowych. Co ASI widzieć powinien..

REGULAMIN OCHRONY DANYCH OSOBOWYCH W ZASOBACH SPÓŁDZIELNI MIESZKANIOWEJ LOKATORSKO- WŁASNOŚCIOWEJ w Konstancinie-Jeziornie.

Obowiązki lekarza, lekarza dentysty wykonującego działalność leczniczą w ramach praktyki zawodowej związane z ochroną danych osobowych

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH w przedsiębiorstwie QBL Wojciech Śliwka Daszyńskiego 70c, Ustroń

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH

ADMINISTRACJI z dnia 1 września 2017 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM PRZETWARZAJĄCYM DANE OSOBOWE W FIRMIE

Ochrona danych osobowych w biurach rachunkowych

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH

Załącznik do zarządzenia nr16 /2010 Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM PRZETWARZAJĄCYM DANE OSOBOWE W FIRMIE

Polityka bezpieczeństwa przeznaczona dla administratora danych, który nie powołał administratora bezpieczeństwa informacji

DOBRE PRAKTYKI PRZETWARZANIA DANYCH OSOBOWYCH W SYSTEMACH INFORMATYCZNYCH ZAKŁADÓW UBEZPIECZEŃ. Andrzej Kaczmarek

ZARZĄDZENIE NR 15/2010 DYREKTORA SZKOŁY PODSTAWOWEJ NR 20 im. HARCERZY BUCHALIKÓW w RYBNIKU z dnia r.

26 listopada 2015, Warszawa Trusted Cloud Day Spotkanie dla tych, którzy chcą zaufać chmurze

OCHRONA DANYCH OSOBOWYCH W BIBLIOTECE J U S T Y N A J A N K O W S K A

Instrukcja zarządzania systemem informatycznym STORK Szymon Małachowski

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH

Jak zorganizować szkolną infrastrukturę informatyczną (sieć informatyczną) Tadeusz Nowik

ZAŁĄCZNIK NR 1. Komentarz do Instrukcji:

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH w Urzędzie Miasta Kościerzyna

ZARZĄDZENIE Nr 15/13 WÓJTA GMINY ŚWIĘTAJNO z dnia 16 kwietnia 2013 r.

Marcin Soczko. Agenda

Rozdział I Zagadnienia ogólne

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH W SZKOLE PODSTAWOWEJ W CHRUŚLINIE

Ochrona danych osobowych w systemie rachunkowości. Wpisany przez Rafał Rydzak

IDENTYFIKATOR. NUMER REGON lub KSIĘGA REJESTROWA. 1.Rodzaj szpitala : szpital kliniczny szpital resortowy wojewódzki szpital specjalistyczny

REGULAMIN OCHRONY DANYCH OSOBOWYCH

Załącznik numer 1 do Instrukcji Zarządzania Systemem Informatycznym Załącznik numer 1 do Instrukcji Zarządzania Systemem Informatycznym

POLITYKA BEZPIECZEŃSTWA

Zał. nr 2 do Zarządzenia nr 48/2010 r.

POLITYKA BEZPIECZEŃSTWA

POLITYKA BEZPIECZEŃSTWA SYSTEMÓW INFORMATYCZNYCH SŁUŻĄCYCH DO PRZETWARZNIA DANYCH OSOBOWYCH W URZĘDZIE GMINY DĄBRÓWKA

Katarzyna Sadło. Ochrona danych osobowych w organizacjach pozarządowych. Kraków, 13 grudnia (stan obecny)

administratora systemów informatycznych w Urzędzie Gminy i Miasta Proszowice NIE

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH Michał Serzycki D E C Y Z J A. DIS/DEC- 877/31613/09 dot. DIS-K-421/43/09

Ochrona danych osobowych

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH W OŚRODKU KULTURY W DRAWSKU POMORSKIM

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH STOWARZYSZENIE RODZICÓW DZIECI Z WRODZONĄ PRZEPUKLINĄ PRZEPONOWĄ I INNYMI WADAMI WRODZONYMI

Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w Urzędzie Miasta Lublin

ZARZĄDZENIE NR 100/2015 WÓJTA GMINY STEGNA. z dnia 16 czerwca 2015 r.

Instrukcja Zarządzania Systemem Informatycznym

Zarządzenie nr 25 Burmistrza Kolonowskiego Z roku

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH Michał Serzycki D E C Y Z J A. DIS/DEC - 652/21890/10 dot. DIS-K-421/29/10

2. Dane osobowe - wszelkie informacje, w tym o stanie zdrowia, dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM W ADCONNECT SP. Z O.O. SP. K.

i częstotliwość tworzenia kopii, zasady sprawdzania obecności wirusów komputerowych oraz dokonywania przeglądów i konserwacji systemów.

PROCEDURA PRZECHOWYWANIA I PRZETWARZANIA DANYCH OSOBOWYCH W OŚRODKU MEDIACJI INIGO

Ochrona danych osobowych przy obrocie wierzytelnościami

Ochrona Danych Osobowych

Zarządzenie nr 14 Rektora Uniwersytetu Jagiellońskiego z 10 lutego 2006 roku

Przetwarzanie danych osobowych w przedsiębiorstwie

POLITYKA BEZPIECZEŃSTWA INFORMACJI

POLITYKA ZARZĄDZANIA SYSTEMEM MONITORINGU MIEJSKIEGO SŁUŻĄCYM DO PRZETWARZNANIA DANYCH OSOBOWYCH MONITORING MIEJSKI W RADOMIU

Polityka Bezpieczeństwa Danych Osobowych. w sklepie internetowym kozakominek.pl prowadzonym przez firmę Worldflame Sp. z o. o.

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH WRAZ Z INSTRUKCJA ZARZĄDZANIA ZINTEGROWANĄ PLATFORMĄ ELF24

2) stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem,

Polityka bezpieczeństwa przetwarzania danych osobowych w VII L.O. im. Juliusza Słowackiego w Warszawie.

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH

POLITYKA BEZPIECZEŃSTWA

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH. Rozdział I Postanowienia wstępne.

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH

POLITYKA BEZPIECZEŃSTWA. Wykaz zbiorów danych oraz programów zastosowanych do przetwarzania danych osobowych.

a) po 11 dodaje się 11a 11g w brzmieniu:

REGULAMIN OCHRONY DANYCH OSOBOWYCH w Szkole Muzycznej I stopnia w Dobczycach

Bezpieczne dane - dobre praktyki w szkole. Roman Pinoczek Dyrektor Szkoły

Ochrona danych osobowych w biurach rachunkowych

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH W SPÓŁDZIELNI MIESZKANIOWEJ ODJ KRAKÓW

Polityka bezpieczeństwa przetwarzania. danych osobowych. 4-Wheels Mateusz Ziomek, z siedzibą ul. Dobra 8/10/42, Warszawa

Regulamin w zakresie przetwarzania danych osobowych w Zespole Szkół w Kaszczorze.

POLITYKA BEZPIECZEŃSTWA INFORMACJI CENTRUM FOCUS ON GRZEGORZ ŻABIŃSKI. Kraków, 25 maja 2018 roku

Uwaga przypominamy o obowiązkach związanych z ochroną danych osobowych w praktyce lekarskiej i dentystycznej.

POLITYKA BEZPIECZEŃSTWA INFORMACJI

ZARZĄDZENIE NR 473/2015 PREZYDENTA MIASTA KIELCE. z dnia 29 grudnia 2015 r.

REGULAMIN OCHRONY DANYCH OSOBOWYCH W SPÓŁDZIELNI MIESZKANIOWEJ KRAKUS W KRAKOWIE

R E G U L A M I N. ochrony danych osobowych określający politykę bezpieczeństwa. Spółdzielnia Mieszkaniowa Geofizyka w Toruniu

URZĄD MIASTA ZIELONA GÓRA PLAN SPRAWDZEŃ ZGODNOŚCI PRZETWARZANIA DANYCH OSOBOWYCH Z PRZEPISAMI O OCHRONIE DANYCH OSOBOWYCH

II Lubelski Konwent Informatyków i Administracji r.

POWIERZENIE PRZETWARZANIA DANYCH OSOBOWYCH W RAMACH UMOWY nr.z dnia

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH w W&H Sp. z. o.o. ul. Kościuszki 49, Turza Śląska, NIP:

REGULAMIN OCHRONY DANYCH OSOBOWYCH W SPÓŁDZIELNI MIESZKANIOWEJ PRZYSZŁOŚĆ W KLUCZBORKU

REGULAMIN OCHRONY DANYCH OSOBOWYCH I INFORMACJI STANOWIĄCYCH TAJEMNICE PRAWNIE CHRONIONE W NAMYSŁOWSKIEJ SPÓŁDZIELNI MIESZKANIOWEJ W NAMYSŁOWIE

KURS ABI. Dzień 1 Podstawy pełnienia funkcji ABI SZCZEGÓŁOWY HARMONOGRAM SZKOLENIA MODUŁ I

Transkrypt:

KONIECZNE ZMIANY W PRZEPISACH ROZPORZĄDZENIA Z PUNKTU WIDZENIA GIODO Andrzej Kaczmarek BIURO GENERALNEGO INSPEKTORA OCHRONY DANYCH OSOBOWYCH 11. 05. 2009 r. Warszawa Generalny Inspektor Ochrony Danych Osobowych ul. Stawki 2, 00-193 Warszawa kancelaria@giodo.gov.pl

PLAN Obecny kształt regulacji w zakresie funkcjonalności i bezpieczeństwa Obecny poziom wypełniania przez ADO warunków technicznych i organizacyjnych przetwarzania danych Obserwowane kierunki zmian w architekturze systemów informatycznych - wymagania w zakresie rozliczalności - wymagania w zakresie bezpieczeństwa Wymagania dotyczące raportowania zawartości rejestrów i wymiany danych między nimi Możliwe kierunki przyszłych regulacji 26.02.2009 Warszawa

WYMAGANIA WYNIKAJĄCE Z ART. 32 USTAWY (Wymagania dotyczące funkcjoności) Art. 32 ust. 1. Każdej osobie przysługuje prawo do kontroli przetwarzania danych, które jej dotyczą, zawartych w zbiorach danych, a zwłaszcza prawo do: 3. uzyskania informacji, od kiedy przetwarza się w zbiorze dane jej dotyczące, oraz podania w powszechnie zrozumiałej formie treści tych danych, 4. uzyskania informacji o źródle, z którego pochodzą dane jej dotyczące, chyba że administrator danych jest zobowiązany do zachowania w tym zakresie tajemnicy państwowej, służbowej lub zawodowej, 5. uzyskania informacji o sposobie udostępniania danych, a w szczególności informacji o odbiorcach lub kategoriach odbiorców, którym dane te są udostępniane, 5e. uzyskania informacji o przesłankach podjęcia rozstrzygnięcia, o którym mowa w art. 26a ust. 2. Art. 38 Administrator danych jest obowiązany zapewnić kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane

WYMAGANIA WYNIKAJĄCE Z 7 UST. 1 ROZPORZĄDZENIA (Wymagania dotyczące funkcjoności) 7 ust. 1 Rozporządzenia Dla każdej osoby, której dane osobowe są przetwarzane w systemie informatycznym z wyjątkiem systemów służących do przetwarzania danych osobowych ograniczonych wyłącznie do edycji tekstu w celu udostępnienia go na piśmie system ten zapewnia odnotowanie: 1. daty pierwszego wprowadzenia danych do systemu; 2. identyfikatora użytkownika wprowadzającego dane osobowe do systemu, chyba że dostęp do systemu informatycznego i przetwarzanych w nim danych posiada wyłącznie jedna osoba; 3. źródła danych, w przypadku zbierania danych, nie od osoby, której one dotyczą; 4. informacji o odbiorcach, w rozumieniu art. 7 pkt 6 ustawy, którym dane osobowe zostały udostępnione, dacie i zakresie tego udostępnienia, chyba że system informatyczny używany jest do przetwarzania danych zawartych w zbiorach jawnych; 5. sprzeciwu, o którym mowa w art. 32 ust. 1 pkt 8 ustawy

WYMAGANIA WYNIKAJĄCE Z ART. 36, 37 USTAWY (Wymagania dotyczące bezpieczeństwa) Art. 36 ust. 1. 1. Administrator danych jest obowiązany zastosowaćśrodki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem 2. Administrator danych prowadzi dokumentację opisującą sposób przetwarzania danych oraz środki, o których mowa w ust. 1. 3. Administrator danych wyznacza administratora bezpieczeństwa informacji, nadzorującego przestrzeganie zasad ochrony, o których mowa w ust. 1, chyba że sam wykonuje te czynności. Art. 37 Do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych.

WYMAGANIA WYNIKAJĄCE Z Załącznika do rozporządzenia (Wymagania dotyczące bezpieczeństwa) I 1) Obszar, o którym mowa w 4 pkt 1 rozporządzenia, zabezpiecza się przed dostępem osób nieuprawnionych na czas nieobecności w nim osób upoważnionych do przetwarzania danych osobowych. 2) Przebywanie osób nieuprawnionych w obszarze, o którym mowa w 4 pkt 1 rozporządzenia, jest dopuszczalne za zgodą administratora danych lub w obecności osoby upoważnionej do przetwarzania danych osobowych. II 1) W systemie informatycznym służącym do przetwarzania danych osobowych stosuje się mechanizmy kontroli dostępu do tych danych. 2) Jeżeli dostęp do danych przetwarzanych w systemie informatycznym posiadają co najmniej dwie osoby, wówczas zapewnia się, aby: a) w systemie tym rejestrowany był dla każdego użytkownika odrębny identyfikator; b) dostęp do danych był możliwy wyłącznie po wprowadzeniu identyfikatora i dokonaniu uwierzytelnienia.

WYMAGANIA WYNIKAJĄCE Z Załącznika do rozporządzenia (Wymagania dotyczące bezpieczeństwa) IV 1) Identyfikator użytkownika, który utracił uprawnienia do przetwarzania danych, nie może być przydzielony innej osobie. 2) W przypadku gdy do uwierzytelniania użytkowników używa się hasła, jego zmiana następuje nie rzadziej niż co 30 dni. Hasło składa się co najmniej z 6 znaków. 3) Dane osobowe przetwarzane w systemie informatycznym zabezpiecza się przez wykonywanie kopii zapasowych zbiorów danych oraz programów służących do przetwarzania danych. 4) Kopie zapasowe: a) przechowuje się w miejscach zabezpieczających je przed nieuprawnionym przejęciem, modyfikacją, uszkodzeniem lub zniszczeniem;; b) usuwa się niezwłocznie po ustaniu ich użyteczności.

WYMAGANIA WYNIKAJĄCE Z Załącznika do rozporządzenia (Wymagania dotyczące bezpieczeństwa) VIII W przypadku gdy do uwierzytelniania użytkowników używa się hasła, składa się ono co najmniej z 8 znaków, zawiera małe i wielkie litery oraz cyfry lub znaki specjalne IX Urządzenia i nośniki zawierające dane osobowe, o których mowa w art. 27 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, przekazywane poza obszar, o którym mowa w 4 pkt 1 rozporządzenia, zabezpiecza się w sposób zapewniający poufność i integralność tych danych XII 1. System informatyczny służący do przetwarzania danych osobowych chroni się przed zagrożeniami pochodzącymi z sieci publicznej poprzez wdrożenie fizycznych lub logicznych zabezpieczeń chroniących przed nieuprawnionym dostępem 2. W przypadku zastosowania logicznych zabezpieczeń, o których mowa w ust. 1, obejmują one: a) kontrolę przepływu informacji pomiędzy systemem informatycznym administratora danych a siecią publiczną; b) kontrolę działań inicjowanych z sieci publicznej i systemu informatycznego administratora danych.

ZAPISY ROZPORZĄDZENIE Wymagające modyfikacji Zapisy rozporządzenia budzące najwięcej wątpliwości? (wymagające modyfikacji) 1) Obszar przetwarzania danych osobowych (jak wskazywać obszar w przypadku komputerów mobilnych, np. spis powszechnościowy); 2) Brak rozróżnienie użytkownika systemu, którym jest osoba będąca pracownikiem administratora danych przetwarzająca dane klientów od użytkownika, który uzyskał uprawnienia tylko do wprowadzania/ modyfikacji swoich własnych danych. 3) Złożoność i częstotliwość zmiany hasła czy i jak należy zróżnicować wymagania dotyczące uwierzytelnienia, aby były one klarowne i kompletne. 4) Brak przepisu wskazującego wprost obowiązek ochrony kryptograficznej danych przesyłanych wprost przy użyciu sieci bezpiecznej np. protokołu https.

NAJCZĘŚCIEJ WYSTĘPUJĄCE UCHYBIENIA Realizacja w ym ogów o charakterze techniczno-organizacyjnym w latach 2007-2010 100% 90% 80% 70% 60% 50% 40% 30% 20% 10% 0% Zabezpieczenie nośników kopii zapasowych Odrębny identyfikator Mechanizmy Odnotowanie daty uwierzytelnienia pierwszego wprowadzenia danych Odnotowanie źródła danych Odnotowanie identyfikatora uzytkownika Odnotowanie udostępnienia danych Odnotowanie sprzeciwu Wydruk raportu danych Rok 2007 Rok 2008 Rok 2009 Rok 2010

OBECNA ROLA ROZPOPRZĄDZENIA 1. Rola regulacyjna (wskazanie wymagań funkcjonalnych i bezpieczeństwa) 2. Rola edukacyjna (wskazano wprost minimalne wymagania dla powszechnie stosowanych rozwiązań) Wady rozwiązania 1. Nie uwzględnia wszystkich możliwych scenariuszy zagrożeń 2. Szybko się dezaktualizuje 3. Zamyka możliwość stosowania rozwiązań alternatywnych wobec wymienionych w rozporządzeniu Zalety rozwiązania 1. Podpowiada wprost jakościowy i ilościowy sposób wypełniania niektórych wymagań 2. Wskazuje kluczowe, minimalne wymagania 3. Jest powszechnie i nieodpłatnie dostępne

JAKI KIERUNEK WYBRAC 1. Rozwiązania dedykowane i bardziej szczegółowe (rozporządzenia) 2. Rozwiązania również szczegółowe ale centralne (rozoporządzenie, standardy, normy) Przykład rozwiązań centralnych 1. Rozwiązanie Niemieckie - BSI 2. Rozporządzenie dotyczące bezpieczeństwa systemów (odnoszące się do wszystkich podmiotów) 3. Odwołanie do norm i standardów Europejskich, Miedzynarodowych, Innych Przykład rozwiązań dedykowanych 1. Rozporządzenie dotyczące bezpieczeństwa danych osobowych 2. Rozporządzenie dotyczące bezpieczeństwa informacji niejawnych 3. Rozporządzenie dotyczące bezpieczeństwa systemów medycznych

UNIWERSALNY CHARAKTER SRODKÓW BEZPIECZEŃSTWA INFORMATYCZNEGO Środki ochrony danych przetwarzanych w systemach informatycznych nie są zależne od rodzaju danych (osobowe, finansowe, handlowe, technologiczne know how) Zagrożenia bezpieczeństwa rosną wraz z wartością danych Środki ochrony danych zależne są od środowiska, w którym są przetwarzane (rodzaj systemu operacyjnego, bazy danych, protokołów transmisji) Standardy międzynarodowe np. ISO/IEC 27000 Standardy Europejskie np. EN 12251 - Secure User Identification for Health Care - Management and Security of Authentication by Passwords Dobre praktyki np. ITIL, ISACA(COBIT) Standardy dostawców technologii np. MBSL, branżowe

WYMAGANIA WYNIKAJĄCE Z DYREKTYWY i OPINII GR ART. 29 Opinia 3/2010 dotycząca zasad odpowiedzialności Przyjęta w dniu 13lipca 2010 r Celem opinii jest wsparcie ochrony danych w praktyce poprzez zaproponowanie Komisji zmian jakie należy wprowadzić do dyrektywy. Zmiany te powinny spowodować przejście od teorii ochrony danych do praktyki. Opinia uwzględnia tezy zawarte w dokumencie WP 168 Grupy Art. 29 z grudnia 2009 r. zatytułowanego The Future of Privacy Sugeruje się, że mechanizmy odpowiedzialności za ochronę danych stanowić będą w przyszłości dla administratorów danych główne narzędzie zwiększania efektywności ich ochrony. Podkreśla się, że w celu zapewnienia odpowiedzialności za dane administratorzy powinni zastosować odpowiednie i efektywne środki, które skutecznie pozwolą wypełniać postanowienia dyrektywy. Środki te na żądanie powinny być zademonstrowane. Uzupełnieniem mechanizmów odpowiedzialności powinny być specjalne wymagania odnoszące się do bezpieczeństwa skutkujące zwiększeniem skuteczności zastosowanych środków. Wskazuje się na potrzebę wprowadzenie wymogu szacowania wpływu operacji przetwarzania danych na ochronę prywatności w przypadku podwyższonego ryzyka.

WYMAGANIA WYNIKAJĄCE Z DYREKTYWY i OPINI GR ART. 29 Opinia 3/2010 dotycząca zasad odpowiedzialności cel i narzędzia Celem zwiększenia odpowiedzialności za ochronę danych jest poprawa efektywności stosowanych zabezpieczeń. Potrzeba ta wynika z wzrostu ilości i wartości przetwarzanych danych. Wzrost ten jest szczególnie dynamiczny w środowisku sieci informatycznych (portale społecznościowe, handel elektroniczny, usługi administracji publicznej, usługi służby zdrowia, bankowe, komunalne, w tym inteligentne opomiarowanie). Jednym z narzędzi nakłaniających administratorów do stosowania środków ochrony mogą być zasady odpowiedzialności dodane w wyniku rewizji dyrektywy. Zasady te powinny zobowiązać do stosowania wewnętrznych środków i procedur zapewniających skuteczną ochronę. Procedury te mogą się różnić w zależności od istniejącego ryzyka i rodzaju danych. Ponadto, należy rozważyć zastosowanie szczególnych wymagań takich jak obowiązek przeprowadzenia wpływu zastosowanego rozwiązania na ochronę prywatności lub obowiązek wyznaczenia inspektora bezpieczeństwa (data protection officers).

WYMAGANIA WYNIKAJĄCE Z DYREKTYWY i OPINI GR ART. 29 Opinia 3/2010 dotycząca zasad odpowiedzialności konkretne propozycje Nowe regulacje powinny wspierać stosowanie praktycznych narzędzi wprowadzając w ten sposób ustanowione zasady do konkretnych polityk ochrony i procedur. Powinny one koncentrować się na: obowiązku wprowadzenia przez administratora skutecznych środków ochrony konieczności wykazania na żądanie organu, że skuteczne środki zostały zastosowane W opinii podkreśla się, że rodzaje środków ochrony nie muszą być wyspecyfikowane w ogólnych zasadach odpowiedzialności. Minimalne ilościowe i/lub jakościowe wymagania dotyczące takich środków dla określonych przypadków mogą być specyfikowane przez: Krajowe Biura Ochrony Danych Osobowych, Grupę roboczą Art.. 29, lub Komisję Europejską.

Dziękuję za uwagę Andrzej Kaczmarek BIURO GENERALNEGO INSPEKTORA OCHRONY DANYCH OSOBOWYCH

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres