Ochrona danych osobowych w biurach rachunkowych

Podobne dokumenty
Ochrona danych osobowych w biurach rachunkowych

Nadzór nad przetwarzaniem danych osobowych zgodnie z RODO

Nowe przepisy i zasady ochrony danych osobowych

Nadzór nad przetwarzaniem danych osobowych kadrowych zgodnie z RODO

Ochrona danych osobowych w organizacjach pozarządowych (od 25 maja 2018)

CO ZROBIĆ ŻEBY RODO NIE BYŁO KOLEJNYM KOSZMAREM DYREKTORA SZKOŁY? mgr inż. Wojciech Hoszek

RODO w HR Zasady przetwarzania danych osobowych kandydatów i pracowników

Nadzór nad przetwarzaniem kadrowych danych osobowych zgodnie z RODO

I. Postanowienia ogólne

RODO. Nowe prawo w zakresie ochrony danych osobowych. Radosław Wiktorski

PARTNER.

RODO w praktyce psychologicznej. adw. dr Maciej Bocheński Uniwersytet Jagielloński Krakowska Izba Adwokacka

Nadzór nad przetwarzaniem danych osobowych kadrowych zgodnie z RODO

Dane osobowe w stacji demontażu. Marcin Witaszek Polski Związek Przemysłu Motoryzacyjnego

Przemysław Bańko Dyrektor ds. Bezpieczeństwa Smart In

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia 29 kwietnia 2004 r.

RODO W ORGANIZACJI- JAK PRAWIDŁOWO PRZYGOTOWAĆ SIĘ ORAZ UNIKNĄĆ KAR PIENIĘŻNYCH

Dane osobowe w hotelarstwie Czy RODO to rewolucja? Gdańsk 21 listopada

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI (1) z dnia 29 kwietnia 2004 r.

Opracował Zatwierdził Opis nowelizacji

! POLITYKA OCHRONY DANYCH OSOBOWYCH W KANCELARII KANCELARIA ADWOKATA ŁUKASZA DOLIŃSKIEGO

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

Agenda. Ogólne rozporządzenie o ochronie danych -RODO. Jakie działania należy podjąć, aby dostosować firmę do wymagań rozporządzenia GDPR/RODO?

Monitorowanie systemów IT

POLITYKA BEZPIECZEŃSTWA INFORMACJI w MYFUTURE HOUSE SP. Z O.O.

POLITYKA PRYWATNOŚCI

Ograniczenia w wykorzystywaniu baz danych związane ze zautomatyzowanym przetwarzaniem danych oraz wykorzystaniem chmury obliczeniowej w świetle RODO

2. Dane osobowe - wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej;

SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH

POLITYKA BEZPIECZEŃSTWA

PORADNIK PRAWNY DOTYCZĄCY STOSOWANIA W APTECE PRZEPISÓW RODO

POLITYKA BEZPIECZEŃSTWA INFORMACJI W KANCELARII ADWOKACKIEJ DR MONIKA HACZKOWSKA

Polityka Bezpieczeństwa Danych Osobowych

Polityka Bezpieczeństwa Danych Osobowych. Zielona Terapia

2. Proces tworzenie wewnętrznego systemu ochrony danych osobowych przedsiębiorcy. 3. Postanowienia dyrektywy 95/46/WE, które pozostaną aktualne

POLITYKA PRYWATNOŚCI

SZCZEGÓŁOWY HARMONOGRAM KURSU

1) przetwarzanie danych osobowych zgodnie z podstawowymi zasadami określonymi w

POLITYKA BEZPIECZEŃSTWA INFORMACJI w KANCELARII ADWOKACKIEJ AGNIESZKA PODGÓRSKA-ZAETS. Ul. Sienna 57A lok Warszawa

POLITYKA BEZPIECZEŃSTWA INFORMACJI CENTRUM FOCUS ON GRZEGORZ ŻABIŃSKI. Kraków, 25 maja 2018 roku

Pakiet RODO MEDFOOD GROUP Sp. Z O.O.

Unijne rozporządzenie o ochronie danych osobowych (RODO) konsekwencje dla centrów danych. Kraków, dnia 22 lutego 2017 r.

POLITYKA BEZPIECZEŃSTWA INFORMACJI

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH w Dworek Bielin Sp. z o.o.

POLITYKA BEZPIECZEŃSTWA INFORMACJI. Heksagon sp. z o.o. z siedzibą w Katowicach. (nazwa Administratora Danych)

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH W FUNDACJI CENTRUM IMIENIA PROF. BRONISŁAWA GEREMKA

PRELEGENT Przemek Frańczak Członek SIODO

Umowa powierzenia przetwarzania danych osobowych zawarta w dniu 2018 r. pomiędzy:

Szkolenie podstawowe z rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 dla wolontariuszy świadczących pomoc na rzecz podopiecznych

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

Polityka bezpieczeństwa informacji

POLITYKA PRYWATNOŚCI

Spis treści. Wykaz skrótów... Wprowadzenie...

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH w Zespole Szkół Technicznych "MECHANIK" w Jeleniej Górze

ECDL RODO Sylabus - wersja 1.0

POLITYKA BEZPIECZEŃSTWA

Polityka Prywatności. 3. Pana/Pani dane osobowe przetwarzane będą w celu:

Program. Polexpert - informacje o szkoleniu. Kod szkolenia: Miejsce: Kraków, Centrum miasta. Koszt szkolenia: zł

ZARZĄDZENIE Nr 15/13 WÓJTA GMINY ŚWIĘTAJNO z dnia 16 kwietnia 2013 r.

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH Szkoły Podstawowej nr 3 im. Henryka Brodatego w Złotoryi

INSTRUCKJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

Pakiet RODO dla Komunalnej Energetyki Cieplnej "KOMEC" Sp. z o.o.

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

Opracowanie dotyczące zasad ochrony danych osobowych po zmianach wprowadzanych przez rozporządzenie RODO

POLITYKA BEZPIECZEŃSTWA INFORMACJI

1 Postanowienia ogólne. 2 Podstawowe definicje

Polityka prywatności spółki BERDA spółka z ograniczoną odpowiedzialnością spółka komandytowa z siedzibą w Płochocinie

POLITYKA BEZPIECZEŃSTWA INFORMACJI W MELACO SP. Z O.O.

Polityka bezpieczeństwa informacji w Fundacji UPGRADE POLITYKA BEZPIECZEŃSTWA INFORMACJI. Fundacja UPGRADE. ulica Deszczowa Gdynia

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH w przedsiębiorstwie QBL Wojciech Śliwka Daszyńskiego 70c, Ustroń

Wdrożenie wymagań RODO w organizacji niezbędne czynności i harmonogram ich realizacji

Polityka bezpieczeństwa informacji w serwisie techrobot.pl

POLITYKA BEZPIECZEŃSTWA INFORMACJI W ZAKRESIE OCHRONY DANYCH OSOBOWYCH

26 listopada 2015, Warszawa Trusted Cloud Day Spotkanie dla tych, którzy chcą zaufać chmurze

Al. J. Ch. Szucha 8, Warszawa

POLITYKA PRYWATNOŚCI GALACTIC SP. Z O.O.

Polityka Ochrony Danych Osobowych. w Luxe Property S.C.

KONFERENCJA SIODO PRZYPADKI"

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH

POLITYKA OCHRONY DANYCH OSOBOWYCH

Ochrona Danych Osobowych

POLITYKA PRYWATNOŚCI W PIAST GROUP SP. Z O.O.

DANE OSOBOWE W DZIAŁALNOŚCI SERWISÓW AGD. Łódź, 21 września 2018 roku

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI

UMOWA O POWIERZENIE PRZETWARZANIA DANYCH

Przetwarzanie danych osobowych pracowników w grupie przedsiębiorstw w świetle zasady rozliczalności

POLITYKA OCHRONY DANYCH OSOBOWYCH W ASPEKT LABORATORIUM SP. Z O.O. Z DNIA 25 MAJA 2018 R.

Polityka Ochrony Danych Osobowych w Dietetica- Ewa Stachowska

XVI Forum Szpitali Ochrona danych osobowych w kontekście wejścia w życie unijnych regulacji

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH

POLITYKA BEZPIECZEŃSTWA INFORMACJI W ZAKRESIE OCHRONY DANYCH OSOBOWYCH

Plan szkolenia. Praktyczne aspekty wdrożenia ogólnego rozporządzenia o ochronie danych osobowych.

Bezpieczeństwo danych naszych subskrybentów, klientów i kontrahentów jest dla nas najwyższym priorytetem.

Rola biura rachunkowego w nowym modelu ochrony danych osobowych

POLITYKA BEZPIECZEŃSTWA INFORMACJI

WZÓR UMOWA O POWIERZENIE PRZETWARZANIA DANYCH OSOBOWYCH

POLITYKA BEZPIECZEŃSTWA. w spółce W.EG Polska sp. z o.o. z siedzibą we Wrocławiu

Technologia Infromacyjna i Prawo w służbie ochrony danych - #RODO2018

Transkrypt:

Ochrona danych osobowych w biurach rachunkowych w kontekście zmienianych przepisów prawa, w szczególności w zgodzie z RODO Prowadzi: Piotr Glen Ekspert ds. ochrony danych osobowych Administrator bezpieczeństwa informacji

ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (dalej RODO) Gotowość na 25 maja 2018 roku

Dane osobowe dane osobowe oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej ( osobie, której dane dotyczą ); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;

Zasady dotyczące przetwarzania danych osobowych 1. Zasada legalności przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą ( zgodność z prawem, rzetelność i przejrzystość ); 2. Zasada celowości zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami (wyjątek stanowi dalsze przetwarzanie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych ( ograniczenie celu ); 3. Zasada adekwatności- adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane ( minimalizacja danych ); 4. Zasada merytorycznej poprawności - prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane ( prawidłowość ); 5. Zasady ograniczenia czasowego - przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane ( ograniczenie przechowywania ); 6. Zasada integralności i poufności - przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych

Administrator danych - administrator oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; podmiot przetwarzający oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora;

Podmiot przetwarzający 1. Jeżeli przetwarzanie ma być dokonywane w imieniu administratora, korzysta on wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi niniejszego rozporządzenia i chroniło prawa osób, których dane dotyczą. 2. 3.. Art. 28 RODO

Relacja administrator processor przepisy RODO najważniejsze obowiązki: - weryfikacja i wybór processora (art.28 ust.1 i 5) - nowa treść umowy processora z administratorem danych (art.28 ust.3, ust.7-9), - zasady posługiwania się podprocessorami (art.28 ust.2 i ust.4)

OBOWIĄZKI ADMINISTRATORA DANYCH (również procesora) 1. Uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane (RODO art. 24. 1. art. 32.) Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku: a) pseudonimizację i szyfrowanie danych osobowych; b) zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania; c)zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego; d) regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

2. Jeżeli jest to proporcjonalne w stosunku do czynności przetwarzania, środki bezpieczeństwa obejmują wdrożenie przez administratora odpowiednich polityk ochrony danych. Stosowanie zatwierdzonych kodeksów postępowania lub zatwierdzonego mechanizmu certyfikacji może być wykorzystane jako element dla stwierdzenia przestrzegania przez administratora ciążących na nim obowiązków. (art. 24. 2 i 3 RODO)

3. Administrator i podmiot przetwarzający wyznaczają inspektora ochrony danych, zawsze gdy: (RODO art. 37) W przypadkach innych można wyznaczyć lub jeżeli wymaga tego prawo Unii lub prawo państwa członkowskiego, wyznacza się inspektora ochrony danych. 4. Podmiot przetwarzający oraz każda osoba działająca z upoważnienia administratora lub podmiotu przetwarzającego i mająca dostęp do danych osobowych przetwarzają je wyłącznie na polecenie administratora, chyba że wymaga tego prawo Unii lub prawo państwa członkowskiego (art. 29 RODO). Administrator oraz podmiot przetwarzający podejmują działania w celu zapewnienia, by każda osoba fizyczna działająca z upoważnienia administratora lub podmiotu przetwarzającego, która ma dostęp do danych osobowych, przetwarzała je wyłącznie na polecenie administratora, chyba że wymaga tego od niej prawo Unii lub prawo państwa członkowskiego. (art. 32. 4. RODO)

5. Zapewnić kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane. 6. Rejestrowanie czynności przetwarzania 8. Rejestr wszystkich kategorii czynności przetwarzania dokonywanych w imieniu administratora (RODO art. 30)

Rejestr czynności przetwarzania danych osobowych Administrator:. (nazwa, siedziba, dane kontaktowe przedsiębiorcy) Współadministrator (jeżeli dotyczy) :.. Przedstawiciel administratora (jeżeli dotyczy):. Inspektor ochrony danych (jeżeli został wyznaczony): Ogólny opis technicznych i organizacyjnych środków bezpieczeństwa zastosowanych do ochrony danych osobowych określa Polityka Bezpieczeństwa Danych Osobowych wdrożona do stosowania u Administratora Dane nie są przekazywane do odbiorców w państwach trzecich lub w organizacjach międzynarodowych

Rejestr wszystkich kategorii czynności przetwarzania dokonywanych w imieniu administratora Podmiot przetwarzający:.. Sp. z o. o., adres: Inspektor ochrony danych (jeżeli został wyznaczony): Dane nie są przekazywane do państwa trzeciego osobowych lub organizacji międzynarodowej

Inne, dodatkowe, nowe obowiązki administratorów oraz prawa osób, których dane dotyczą: - Rozszerzone obowiązki informacyjne, - Nowe zasady uzyskiwania zgód na przetwarzanie danych - Ograniczenie profilowania, - Prawo do przenoszenia danych, - Prawo do ograniczenia przetwarzania danych, do usuwania danych, prawo do bycia zapomnianym - Informowanie o naruszeniach ochrony danych, - Uwzględnianie ochrony danych w fazie projektowania oraz domyślna ochrona danych, - Odpowiedzialność finansowa i odszkodowawcza

Środki bezpieczeństwa Obszar (pomieszczenia) zabezpiecza się przed dostępem osób nieuprawnionych na czas nieobecności w nim osób upoważnionych do przetwarzania danych osobowych. Przebywanie osób nieuprawnionych w pomieszczeniach jest dopuszczalne za zgodą administratora danych lub w obecności osoby upoważnionej do przetwarzania danych osobowych Przestrzegać zasady czystego biurka W systemie informatycznym służącym do przetwarzania danych osobowych stosuje się mechanizmy kontroli dostępu do tych danych - uwierzytelnianie Zabezpieczenie informacji w sposób uniemożliwiający nieuprawnione jej ujawnienie, modyfikacje, usunięcie lub zniszczenie - włączony mechanizm audytowania zdarzeń historia logów

Identyfikator użytkownika, który utracił uprawnienia do przetwarzania danych, nie może być przydzielony innej osobie. W przypadku, gdy do uwierzytelniania użytkowników używa się hasła, składa się ono co najmniej z 8 znaków, zawiera małe i wielkie litery oraz cyfry lub znaki specjalne. Dane osobowe przetwarzane w systemie informatycznym zabezpiecza się przez wykonywanie kopii zapasowych zbiorów danych oraz programów służących do przetwarzania danych. Osoba użytkująca komputer przenośny zawierający dane osobowe zachowuje szczególną ostrożność podczas jego transportu, przechowywania i użytkowania poza obszarem, w tym stosuje środki ochrony kryptograficznej wobec przetwarzanych danych osobowych. Urządzenia i nośniki zawierające dane osobowe przekazywane poza obszar zabezpiecza się w sposób zapewniający poufność i integralność tych danych. System informatyczny służący do przetwarzania danych osobowych chroni się przed zagrożeniami pochodzącymi z sieci publicznej poprzez wdrożenie fizycznych lub logicznych zabezpieczeń chroniących przed nieuprawnionym dostępem.

Zastosowano środki kryptograficznej ochrony danych dla danych osobowych przekazywanych drogą teletransmisji Zastosowano środki ochrony przed szkodliwym oprogramowaniem takim, jak np. robaki, wirusy, konie trojańskie, rootkity Zastosowano środki zabezpieczające dane przed skutkami awarii i braku zasilania Zainstalowano wygaszacze ekranów na stanowiskach, na których przetwarzane są dane osobowe. Monitory komputerów, na których przetwarzane są dane osobowe ustawione są w sposób uniemożliwiający wgląd osobom postronnym w przetwarzane dane. Zasada korzystania z urządzeń biurowych Kopie zapasowe zbioru danych osobowych przechowywane są w innym pomieszczeniu niż to, w którym znajduje się serwer, na którym dane osobowe przetwarzane są na bieżąco. Osoby zatrudnione przy przetwarzaniu danych zostały zaznajomione z przepisami i procedurami dotyczącymi ochrony danych osobowych.

Za nieprzestrzeganie przepisów ochrony danych osobowych grozi: ODPOWIEDZIALNOŚĆ ADMINISTRACYJNA ODPOWIEDZIALNOŚĆ DYSCYPLINARNA ODPOWIEDZIALNOŚĆ KARNA ODPOWIEDZIALNOŚĆ ODSZKODOWAWCZA ODPOWIEDZIALNOŚĆ FINANSOWA

RODO NIE oznacza dla małych biur rachunkowych końca działalności RODO ma służyć do wzmocnienia ochrony danych osobowych, a nie po to by nakładać kary finansowe. Proces dostosowania firmy do RODO nie kończy się w dniu 25 maja. W różnych biurach będą stosowane różne środki bezpieczeństwa, adekwatne do ilości i kategorii przetwarzanych danych. Mają być zastosowane metody i środki ochrony danych, których skuteczność w czasie ich zastosowania jest powszechnie uznawana.

DZIĘKUJĘ ZA UWAGĘ Piotr Glen Specjalista ds. ochrony danych osobowych tel.: 501 639 692 e-mail: piotr.glen@wiknet.net.pl www.wiknet.net.pl

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres