Jak nie wdepnąć w GIODO, czyli co musi wiedzieć dział HR o ochronie danych osobowych. Jacek Bajorek Instytut Zarządzania Bezpieczeństwem Informacji



Podobne dokumenty
Ochrona danych osobowych

Szkolenie. Ochrona danych osobowych

Bezpieczeństwo informacji. Opracował: Mariusz Hoffman

Szkolenie podstawowe z ustawy o ochronie danych osobowych dla wolontariuszy świadczących pomoc na rzecz podopiecznych Ośrodka Pomocy Społecznej

DANE OSOBOWE DOBREM OSOBISTYM XXI WIEKU. PAMIĘTAJ!!!! Prywatność jest wartością tak cenną, że musi być chroniona przez prawo.

Chronimy (czy ciągle tracimy?) dane i informacje w systemach teleinformatycznych organizacji

Ochrona wrażliwych danych osobowych

Katarzyna Sadło. Ochrona danych osobowych w organizacjach pozarządowych. Kraków, 13 grudnia (stan obecny)

PRAWNE UWARUNKOWANIA WYKORZYSTANIA DANYCH INDYWIDUALNYCH W CELU EWALUACJI POLITYKI ZATRUDNIENIA W POLSCE

Ochrona danych osobowych przy obrocie wierzytelnościami

Bezpieczeństwo danych osobowych listopada 2011 r.

TWOJE DANE TWOJA SPRAWA. Prawo do prywatności i ochrony danych osobowych

Ochrona Danych Osobowych

INSTRUKCJE DOTYCZĄCE OCHRONY DANYCH OSOBOWYCH W KANCELARII DORADZTWA PODATKOWEGO

POLITYKA BEZPIECZEŃSTWA w Gimnazjum nr 1 w Żarach. Podstawa prawna

Program ochrony danych osobowych na poziomie LGR. radca prawny Jarosław Ornicz

Szkolenie podstawowe z rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 dla wolontariuszy świadczących pomoc na rzecz podopiecznych

Ustawa o ochronie danych osobowych po zmianach

Szkolenie podstawowe z ustawy o ochronie danych osobowych, w związku z realizacją zadań w zakresie przeciwdziałania przemocy w rodzinie.

II Lubelski Konwent Informatyków i Administracji r.

Przetwarzanie danych osobowych w przedsiębiorstwie

Umowa nr ADO/.../... powierzenia przetwarzania danych osobowych

KONSTYTUCJA RZECZYPOSPOLITEJ POLSKIEJ

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH w przedsiębiorstwie QBL Wojciech Śliwka Daszyńskiego 70c, Ustroń

OCHRONA DANYCH OSOBOWYCH W BIBLIOTECE J U S T Y N A J A N K O W S K A

Zmiany w ustawie o ochronie danych osobowych

PolGuard Consulting Sp.z o.o. 1

Polityka bezpieczeństwa przeznaczona dla administratora danych, który nie powołał administratora bezpieczeństwa informacji

Ochrona danych osobowych w NGO i przeciwdziałanie terroryzmowi

Prawo oświatowe w codziennej

REGULAMIN OCHRONY DANYCH OSOBOWYCH w Szkole Muzycznej I stopnia w Dobczycach

Zarządzenie nr 101/2011

Jak zidentyfikować zbiór danych osobowych w swojej firmie?

Szkolenie podstawowe z rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 dla wolontariuszy świadczących pomoc na rzecz podopiecznych

REGULAMIN ZASAD OCHRONY DANYCH OSOBOWYCH W SPÓŁDZIELNI MIESZKANIOWEJ ODJ W KRAKOWIE

Zwykłe dane osobowe, a dane wrażliwe

OCHRONA DANYCH OSOBOWYCH W SPÓŁDZIELNI MIESZKANIOWEJ MSZCZONOWSKA. Łukasz Zegarek 29 listopada 2016 r.

Regulamin ochrony danych osobowych w Spółdzielni Budowlano Mieszkaniowej Powiśle w Warszawie

Jak zorganizować szkolną infrastrukturę informatyczną (sieć informatyczną) Tadeusz Nowik

REGULAMIN OCHRONY DANYCH OSOBOWYCH W SPÓŁDZIELNI MIESZKANIOWEJ MISTRZEJOWICE-PÓŁNOC w Krakowie

Polityka bezpieczeństwa danych osobowych przetwarzanych w ramach Programu BIOsfera BIODERMA

POLITYKA BEZPIECZEŃSTWA INFORMACJI URZĘDU GMINY W KIKOLE

Polityka bezpieczeństwa danych osobowych przetwarzanych w ramach Programu BIOsfera BIODERMA

Prywatność danych i sieć Internet. Tomasz Kaszuba 2016

Załącznik nr 4 Polityki Bezpieczeństwa Danych XXXIV Liceum Ogólnokształcącego im. Miguela de Cervantesa w Warszawie

wraz z wzorami wymaganej prawem dokumentacją

darmowy fragment Ochrona Danych Osobowych. Poradnik dla przedsiębiorców Wydanie II, Rybnik 2011 Wszelkie prawa zastrzeżone!

Ochrona danych osobowych w biurze rachunkowym (cz. 3) - Czym jest przetwarzanie danych osobowych?

Umowa nr ADO/.../2016 powierzenia przetwarzania danych osobowych

Ochrona danych osobowych

ZARZĄDZENIE NR 22. z dnia 2 lipca 2008 r.

Polityka Bezpieczeństwa w zakresie danych osobowych Stowarzyszenia Lokalna Grupa Działania,,Gryflandia

OCHRONA DANYCH OSOBOWYCH. Administrator Bezpieczeństwa Informacji kom. mgr Piotr Filip

Regulamin Ochrony Danych Osobowych w Stowarzyszeniu Ogrodowym KMITA w Zabierzowie

Przetwarzania danych osobowych

Organizacja środowiska pracy dla Administratora Bezpieczeństwa Informacji

ZASADY PRZETWARZANIA I OCHRONY DANYCH OSOBOWYCH NA UCZELNIACH WYŻSZYCH

Ustawa o ochronie danych osobowych. opracowanie: redakcja ZapytajPrawnika.pl. projekt okładki: Zbigniew Szeliga

BEZPIECZEŃSTWO DANYCH OSOBOWYCH PRZETWARZANYCH PRZY UŻYCIU SYSTEMÓW INFORMATYCZNYCH

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM PRZETWARZAJĄCYM DANE OSOBOWE W FIRMIE

Polityka Bezpieczeństwa Danych Osobowych. Zielona Terapia

Dane osobowe w stacji demontażu. Marcin Witaszek Polski Związek Przemysłu Motoryzacyjnego

Załącznik do zarządzenia nr 29/2005/2006 Obowiązuje od r. POLITYKA BEZPIECZEŃSTWA

POLITYKA BEZPIECZEŃSTWA

ELEKTRONICZNA DOKUMENTACJA MEDYCZNA, A OCHRONA DANYCH OSOBOWYCH. dr Piotr Karniej Uniwersytet Medyczny we Wrocławiu

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH

Zasady Bezpieczeństwa Informacji w USK Wrocław.

ZASADY OCHRONY DANYCH OSOBOWYCH W STOWARZYSZENIU PO PIERWSZE RODZINA

Ochrona danych osobowych

Stosownie do art. 41 ust. 1 ustawy zgłoszenie zbioru danych do rejestracji powinno zawierać:

Polityka Prywatności portalu 1. Postanowienia ogólne

Obowiązki ADO. Zasady przetwarzania danych osobowych. Jarosław Żabówka IV Internetowe Spotkanie ABI

POLITYKA BEZPIECZEŃSTWA w zakresie ochrony danych osobowych w ramach serwisu zgloszenia24.pl

osobowych i ich zbiorów stanowiącą załącznik nr 1 do niniejszego zarządzenia.

Podstawowe definicje: Dane osobowe oraz zbiory danych osobowych. Zasady udostępniania danych osobowych.

Jakie są podstawowe obowiązki wynikające z ustawy o ochronie danych osobowych?

R E G U L A M I N. ochrony danych osobowych określający politykę bezpieczeństwa. Spółdzielnia Mieszkaniowa Geofizyka w Toruniu

Regulamin w zakresie przetwarzania danych osobowych w Zespole Szkół w Kaszczorze.

Przetwarzanie danych osobowych w przedsiębiorstwie. Lubin, październik 2014 r.

Ochrona danych osobowych

PROCEDURA PRZECHOWYWANIA I PRZETWARZANIA DANYCH OSOBOWYCH W OŚRODKU MEDIACJI INIGO

REGULAMIN OCHRONY DANYCH OSOBOWYCH W SPÓŁDZIELNI MIESZKANIOWEJ PRZYSZŁOŚĆ W KLUCZBORKU

System bezpłatnego wsparcia dla NGO

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH W URZĘDZIE GMINY PIERZCHNICA

Umowa powierzenia przetwarzania danych osobowych. nr.. zawarta w dniu...

PROCEDURA POLITYKI BEZPIECZEŃSTWA I OCHRONY DANYCH OSOBOWYCH OBOWIĄZUJĄCA W ZESPOLE SZKÓŁ NR 1 W WODZISŁAWIU ŚLĄSKIM

PROCEDURA POLITYKI BEZPIECZEŃSTWA I OCHRONY DANYCH OSOBOWYCH

REGULAMIN OCHRONY DANYCH OSOBOWYCH W SPÓŁDZIELNI MIESZKANIOWEJ FAMEG" w Radomsku

REGULAMIN OCHRONY DANYCH OSOBOWYCH W SPÓŁDZIELNI MIESZKANIOWEJ W TCZEWIE

WSKAZÓWKI DOTYCZĄCE WYPEŁNIANIA FORMULARZA ZGŁOSZENIA ZBIORU DANYCH DO REJESTRACJI

ABI EXPERT+ Ochrona danych osobowych. Warsztat specjalistyczny. Zadania Administratora danych osobowych. Skuteczne narzędzie ADO

CZĘŚĆ A. NAZWA ZBIORU DANYCH.

POLITYKA BEZPIECZEŃSTWA

Zarządzenie nr 25 Burmistrza Kolonowskiego Z roku

Podstawowe obowiązki administratora danych osobowych

PolGuard Consulting Sp. z o.o.

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM PRZETWARZAJĄCYM DANE OSOBOWE W FIRMIE

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH W SPÓŁDZIELNI MIESZKANIOWEJ ODJ KRAKÓW

SZKOLNIE Z OCHRONY DANYCH OSOBOWYCH

R E G U L A M I N OCHRONY DANYCH OSOBOWYCH. W GNIEŹNIEŃSKIEJ SPÓŁDZIELNI MIESZKANIOWEJ w GNIEŹNIE

Transkrypt:

Jak nie wdepnąć w GIODO, czyli co musi wiedzieć dział HR o ochronie danych osobowych Jacek Bajorek Instytut Zarządzania Bezpieczeństwem Informacji

GIODO to nie znaczy Główna Instytucja Ochrony Deportowanych Obcokrajowców GIODO to Generalny Inspektor Danych Osobowych

Akty prawne dotyczące przetwarzania i ochrony danych osobowych Konstytucja Rzeczpospolitej Polskiej z dnia 2 kwietnia 1997 r. (Dz. U. z 1997 r. Nr 78, poz. 483) Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2014 r. poz. 1182 ze zmian.) Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych(dz. U. z 2004 r. Nr 100, poz. 1024) Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 11 grudnia 2008 r. w sprawie wzoru zgłoszenia zbioru do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (Dz. U. z 2008 r. Nr 229, poz. 1536)

Art. 47 Konstytucja Rzeczpospolitej Polskiej z dnia 2 kwietnia 1997 r. (Dz. U. z 1997 r. Nr 78, poz. 483) Każdy ma prawo do życia prywatnego, rodzinnego, czci i dobrego imienia oraz do decydowania o swoim życiu osobistym. Art. 51 1. Nikt nie może być obowiązany inaczej niż na podstawie ustawy do ujawniania informacji dotyczących jej osoby. 2. Władze publiczne nie mogą pozyskiwać, gromadzić i udostępniać innych informacji o obywatelach niż niezbędne w demokratycznym państwie prawnym. 3. Każdy ma prawo dostępu do dotyczących go urzędowych dokumentów i zbiorów danych. Ograniczenie tego prawa może określić ustawa. 4. Każdy ma prawo do żądania sprostowania oraz usunięcia informacji nieprawdziwych, niepełnych lub zebranych w sposób sprzeczny z ustawą.

Danymi osobowymi - są wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. Informacji nie uważa się za umożliwiającą określenie tożsamości, jeżeli wymagałoby to nadmiernych kosztów, czasu i działań. Danymi osobowymi nie są pojedyncze informacje o dużym stopniu ogólności, np. sama nazwa ulicy i numer domu.

CO TO SĄ DANE OSOBOWE? Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych Rozdział 1 Art. 6 : W rozumieniu ustawy za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań.

DANE OSOBOWE : wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby Numery identyfikacyjne: PESEL, NIP, paszport, dowód osobisty Cechy fizyczne: wygląd zewnętrzny, siatkówka oka, linie papilarne, Cechy fizjologiczne: grupa krwi, kod genetyczny Cechy ekonomiczne: status majątkowy, lista zaległości finansowych Cechy umysłowe, kulturowe lub społeczne: poglądy, wyznanie( pastor XY), pochodzenie lub przynależność związkowa

Czy sam numer karty miejskiej jest daną osobową w rozumieniu ustawy o ochronie danych osobowych?

Tak, ale tylko wtedy, gdy na jego podstawie można bez nadmiernych kosztów, czasu i działań, określić tożsamość osoby, do której ta karta należy.

Przetwarzanie danych Przetwarzanie danych to wszystkie czynności, które wykonujemy na danych osobowych: zbieranie ich, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie a także usuwanie. Przykładem przetwarzania może być przechowywanie danych osobowych w formie akt osobowych pracowników fundacji/stowarzyszenia albo uzupełnianie tych danych o nowe, pozyskane informacje. Samo posiadanie danych jest już traktowane jak ich przetwarzanie.

dane osobowe przetwarzane są w kartotekach, skorowidzach, księgach, wykazach i w innych zbiorach ewidencyjnych

dane osobowe przetwarzane są w systemach informatycznych, także w przypadku przetwarzania danych poza zbiorem danych

JAK CHRONIĆ DANE OSOBOWE? Na każdym szczeblu przetwarzania danych konieczne jest respektowanie procedur, w szczególności: zachowanie rygorów bezpieczeństwa, posługiwanie się wyłącznie własnymi identyfikatorami na wyłącznie własne potrzeby, stosowanie unikalnych loginów, przestrzeganie regulacji dotyczących używanych haseł, okresowe zmiany hasła, bezpieczne przechowywanie haseł, przestrzegania zasady czystego biurka

JAK CHRONIĆ DANE OSOBOWE? TYPOWE BŁĘDY Zasada czystego biurka Synchronizacja danych urządzenia mobilne samochody Pozostawianie druków na szybach skanerów drukarkach blatach biurek

Jak nie wdepnąć w GIODO, czyli co musi wiedzieć dział

Zasady Bezpieczeństwa Informacji Każdy pracownik organizacji jest zobowiązany zachować poufność przetwarzanych danych oraz sposobów ich zabezpieczenia. Dane można wykorzystywać wyłącznie do celów, dla których zostały udostępnione. Dokumenty zawierające informacje podlegające ochronie powinny być przechowywane na biurku i innych miejscach do tego przeznaczonych, w taki sposób, aby osoba nieuprawniona nie miała do nich dostępu. Nośniki informacji (w formie papierowej i elektronicznej) z danymi podlegającymi ochronie nie można pozostawiać w miejscach ogólnodostępnych i niezabezpieczonych oraz nie należy udostępniać osobom nieupoważnionym.

Zasady Bezpieczeństwa Informacji ciąg dalszy Nośniki informacji (w formie papierowej i elektronicznej) z danymi podlegającymi ochronie nie można pozostawiać w miejscach ogólnodostępnych i niezabezpieczonych oraz nie należy udostępniać osobom nieupoważnionym. Dokumenty wydrukowane w nadmiernej ilości, a także zawierające błędy lub, które nie są wykorzystywane do żadnych celów należy trwale zniszczyć w sposób uniemożliwiający odtworzenie treści. Dokumenty zawierające informacje podlegające ochronie, przed wyrzuceniem do kosza należy zanonimizować, w taki sposób, aby nie można było odtworzyć ich treści i zidentyfikować osoby, której dane dotyczą, lub zniszczyć za pomocą niszczarki.

Zasady Bezpieczeństwa Informacji ciąg dalszy Monitor należy usytuować w taki sposób, aby osoby nieupoważnione wchodzące do pomieszczenia nie miały wglądu do danych na nim wyświetlanych. Przed zalogowaniem się do systemu stacji roboczej należy upewnić się, że w pobliżu nie ma osób trzecich lub urządzeń nagrywających mogących zarejestrować hasła dostępowe do systemów, z których zamierzamy skorzystać. Jeśli występuje takie zagrożenie należy zastosować szczególne środki ostrożności uniemożliwiające zarejestrowanie wpisywanego hasła. Oprogramowanie instaluje tylko i wyłącznie administrator systemu informatycznego, nigdy nie należy robić tego samodzielnie. Dokumenty wydrukowane w nadmiernej ilości, a także zawierające błędy lub, które nie są wykorzystywane do żadnych celów należy trwale zniszczyć w sposób uniemożliwiający odtworzenie treści.

Zasady Bezpieczeństwa Informacji ciąg dalszy Nie należy przesyłać informacji służbowych z wykorzystaniem prywatnych nośników oraz wykorzystywać służbowych urządzeń (tj. komputerów, laptopów, telefonów) do prywatnych celów. W przypadku opuszczania stanowiska pracy należy zastosować systemową blokadę komputera, laptopa lub innego elektronicznego nośnika informacji. Przy opuszczaniu miejsca pracy należy zachować zasadę czystego biurka - nośniki informacji umieścić w szafach, szufladach i innych do tego przeznaczonych miejscach oraz upewnić się, że pokój jest zamknięty, gdy jesteśmy jedyną osobą opuszczającą pomieszczenie. Nośniki elektroniczne zawierające informacje podlegające ochronie, poza miejscem pracy należy zabezpieczyć za pomocą środków kryptograficznych. Poza miejscem pracy, szczególnie w miejscach publicznych unikać należy rozmów dotyczących informacji służbowych podlegających ochronie

SANKCJE DOSTĘP OSÓB NIEUPRAWNIONYCH (Artykuł 49 Ustawy ODO) Przestępstwo: Przetwarzanie w zbiorze danych osobowych w sytuacji, w której przetwarzanie to nie jest dopuszczalne Przetwarzanie danych przez osobę nieuprawnioną Kara: Grzywna Kara ograniczenia wolności Kara pozbawienia wolności do lat dwóch W przypadku, gdy przetwarzano w ten sposób dane wrażliwe (pochodzenie, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, dane o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym) kara pozbawienia wolności może wynosić nawet trzy lata

SANKCJE NIEZABEZPIECZENIE DANYCH (Artykuł 52 Ustawy ODO) Przestępstwo: Naruszenie przez osobę administrującą danymi obowiązku zabezpieczenia danych przez ich uszkodzeniem, zniszczeniem lub zabraniem przez osobę nieuprawnioną. Przestępstwo to może zostać popełnione również nieumyślnie. Kara: Grzywna Kara ograniczenia wolności Kara pozbawienia wolności do roku

SANKCJE OBOWIĄZKI INFORMACYJNE (Artykuł 53 Ustawy ODO) Przestępstwo: Niezgłoszenie zbioru danych pomimo ciążącego obowiązku Kara: Grzywna Kara ograniczenia wolności Kara pozbawienia wolności do roku

SANKCJE OBOWIĄZKI INFORMACYJNE (Artykuł 54 Ustawy ODO) Przestępstwo: Niepoinformowanie osoby, której dane dotyczą, o jej prawach Nieprzekazanie tej osobie informacji umożliwiających skorzystanie z jej praw przyznanych w Ustawie Kara: Grzywna Kara ograniczenia wolności Kara pozbawienia wolności do roku

Dziękuję za uwagę Jacek Bajorek jacekba@gmail.com 795520849