RODO 2018 Zadania Użytkowników, Inspektora ODO i Administratora Danych w świetle zmian RODO 2018 Copyright by Jarosław J. Feliński, wszelkie prawa autorskie zastrzeżone Autor: Jarosław J. FELIŃSKI Wykładowca akademicki UJ - AGH KRAKÓW WIT Warszawa, DSW Wrocław, WSAP Szczecin, WSE Białystok Audytor wiodący ISO PN 27001 ISMS RODO to nie Rodeo"
PROGRAM SZKOLENIA POLITYKA BEZPIECZEŃSTWA INFORMACJI A POLITYKA OCHRONY DANYCH wg RODO określenie podstawowych nowych pojęć RODO; zakres obowiązywania PBI w obecnym stanie prawnym i przekształcenie w nową formę POLITYKA OCHRONY DANYCH, legalność przetwarzania danych osobowych, w ujęciu nowych delegacji RODO w polskich przepisach prawa,
KWALIFIKACJE ZAWODOWE INSPEKTORA OCHRONY DANYCH OSOBOWYCH zadania INSPEKTORA OCHRONY DANYCH OSOBOWYCH; zadania ASI i Kierowników komórek organizacyjnych; zalecenia organizacyjne i techniczne, omówienie sposobu prowadzenia nadzoru i WŁĄCZANIA WE WSZYSTKIE SPRAWY ODO; zgodność instrukcji POD z innymi regulacjami wewnętrznymi;
ZASADY ORGANIZACJI OCHRONY DANYCH OSOBOWYCH prawa klientów / interesantów w zakresie ochrony prywatności wg RODO; nowe prawa OSÓB wg RODO i ustaw krajowych, zasady informowania PT Klientów o prawach zgodnie z RODO; kryteria powierzania i zabezpieczania danych osobowych wg RODO; uprawnienia pracowników/użytkowników w obszarach przetwarzanych danych; zmiana ABI na INSPEKTORA OCHRONY DANYCH OSOBOWYCH; kwalifikacje zawodowe i audytowe konieczne minimum; zmiana w kategorii - ODPOWIEDZIALNOŚĆ UŻYTKOWNIKÓW. AUDYT BEZP.INFORMACJI IODO wg PN ISO 27001
RODO ZADANIA ADMINISTRATORA DANYCH OSOBOWYCH OIL, KOMISJE, RZECZNIK, NZOZ GABINET STOMATOLOGICZNY KLINIKA GABINET MED. ESTETYCZNEJ JAKA JEST PODSTAWA PRAWNA GROMADZENIA DANYCH PACJENTA? KTO POSIADA UPRAWNIENIE I Z CZEGO WYNIKAJĄCE DO PRZETWARZANIA DANYCH? CO WIDZĄ PODMIOTY PRZETWARZANIA? JAKIE WARUNKI OKREŚLONO WYKONAWCOM USŁUG np. IT, LABORATORIUM INNE
Okręgowa Izba Lekarska w Koszalinie
Okręgowa Izba Lekarska w Koszalinie 27/01/2018 = 36 b UODO
Okręgowa Izba Lekarska w Koszalinie!!! Niezgodność z RODO
PRZYKŁADY Z SIECI
PRZYKŁADY Z SIECI
PRZYKŁADY Z SIECI
ZADANIA ADMINISTRATORA DANYCH OSOBOWYCH ODPORNOŚĆ NA
ANALIZA RYZYKA I OCENA SKUTKÓW RODO RODO TO NIE tylko uporządkowane działanie procesowe w zarządzaniu jednostką RODeO ofert i usług GDPR RODO RODO RODO RODO 14
wdrożenie RODO wdrożenie 1. nauczenie kogoś wykonywania rutynowych czynności; 2. podjęcie jakiegoś działania; 3. rozpoczęcie stosowania czegoś w praktyce wdrożenie dopuszczalne w grach wdrożyć wprowadzić w stan używalności (najczęściej w odniesieniu do systemów informatycznych)
Funkcjonalne systemy WDRAŻANIE RODO ADO - PLANOWANIE ZMIAN KTO Z PAŃSTWA ZGŁASZA SIĘ NA IODO?
Funkcjonalne systemy https://cm.enel.pl/politykaprywatnosci/ KTO Z PAŃSTWA ZGŁASZA SIĘ NA IODO? POLITYKA PRYWATNOŚCI Centrum Medyczne ENEL-MED S.A. zgodnie z art. 24 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn. Dz. U. z 2002 r., nr 101, poz. 926, z późn.zm.) przekazuje poniżej informacje na temat przechowywania, przetwarzania i celów przetwarzania danych, mającą charakter zapewnienia o zachowaniu należytej staranności po stronie Centrum Medycznego ENEL-MED.
Funkcjonalne systemy HTTP://WWW.ROGOWSKI.PL/O- KLINICE/PRACA/ KTO Z PAŃSTWA ZGŁASZA SIĘ NA IODO? HTTP://WWW.ROGOWSKI.PL/O-KLINICE/PRACA/ Prosimy o umieszczenie w CV następującej oraz o klauzuli: Wyrażam zgodę na przetwarzanie moich danych osobowych dla potrzeb niezbędnych do realizacji procesu rekrutacji (zgodnie z [!!!...] Ustawą z dnia 29.08.1997 roku o Ochronie Danych Osobowych; (tekst jednolity: Dz. U. 2016 r. poz. 922). Aplikację wraz ze zdjęciem prosimy kierować na adres mailowy: rekrutacja@rogowski.pl
Konstytucyjne i ustawowe zasady ochrony danych osobowych Pycha jestem najlepszym ABI m, po jednym dniu... Chciwość wszyscy ADO są / będą moimi klientami - niebawem... Nieczystość /nie/ znam podstaw prawnych przetwarzania... Zazdrość inny abi ma o 1 ADO więcej Nieumiarkowanie w [ ] ilości przetwarzanych danych z kolizją adekwatności co do celu Gniew jak to ja nie wiem? WIEM WSZYSTKO Lenistwo już wszystko mam /tabelki/, WIĘC SPOKO 19
a każda z tych usług to BAZA OKREŚLONYCH DANYCH [AKTYWÓW INFORMACYJNYCH] podlegających ochronie ustawowej. Przykładami powszechnie stosowanych elektronicznych usług są: e ~ sądy, e ~ administracja, e ~ WUŚ; e ~ PUAP; e ~ szkoła; e ~ recepta; e ~ L4 itd.; e ~ pacjent; e ~ student
Konstytucyjne i ustawowe zasady ochrony danych osobowych KROK 1 WDROŻENIOWY ORGANIZACJA OCHRONY DANYCH WG RODO KLASYFIKACJA PRZEPISÓW 21
Zarządzanie informacją zakres i definicje Konstytucja RP - art. 51 UODO + Kodeks Pracy i inne przepisy resortowe Konstytucyjne i ustawowe zasady ochrony danych osobowych Rozporządzenia MSWiA i KRI STATUT - REGULAMINY ORG. - PRACY Paragraf 20 ust.2 6 szkolenia 14 audyt ZAKRESY ODPOWIEDZIALNOŚCI Kierowników i UŻYTKOWNIKÓW 22
Dane o OSOBIE W KATEGORIACH PRZETWARZANIA Czym jest Gdzie jest Ochrona danych Ochrona prywatności Identyfikacja Personalna PRZEDMIOT PRODUKT Personalizacja i lokalizacja; zachowania, Instytucje i biznes Operatorzy Ochrona intymności Uczucia, Odczucia, Diagnozy Komentarze, Opinie, Opisy e ~ Społeczności 23
Powód stosowania UODO / RODO
Funkcjonalne systemy 1. Przychodzi PT Klient i składając wniosek art. 32 ust. 1 UODO prosi o wyliczenie się ze stosowania art. 24 tj obowiązku informacyjnego wg UODO i RODO - co powinien wykonać ABIODO? - okazać zapisy PBI, czy IZSI [dane w stacjach roboczych?]; - opisać charakter czynności, operacji, klasyfikacji i kategoryzacji danych?; - odesłać do... 2. Wpływa wniosek o wykazanie podstaw przetwarzania danych z podmiotem usług zewnętrznych, który utracił dane tego Klienta - ABIODO działa poprzez: - odesłanie do ABIODO podmiotu usług zewnętrznych? - samodzielnie wyjaśnia zdarzenie? - podaje wykładnię orzecznictwa XI 2017 SN?
NOWELE I ODO od 1997 UODO 2011/03/07 - art. 29 30 = 2014.12.31 UODO 01.01 2015 /2018 ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGOI RADY w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych (ogólne rozporządzenie o ochronie danych) INSPEKTOR OCHRONY DANYCH 25 maja 2016
Kompleksowe zarządzanie bezpieczeństwem informacji Zakres działań ABI określony zmianami 2015-2018 1997-2014 BRAK ZADAŃ USTAWOWYCH ZAKRES ZADAŃ W UODO 2015-2018 Art. - 36a 01.01.2015 24.05.2018 POWOŁANIE ABI ZGŁOSZENIE ABI DZIAŁANIA ABI ========================= Art. 36b ZAKRES NOWYCH ZADAŃ W RODO DYREKTOR = ADO i ABI 25 maja 2018 Inspektor Ochrony Danych Osobowych
Funkcjonalne systemy Porównanie zapisów UODO RODO
Organizacyjne, techniczne i fizyczne Konieczne jest związanie zakresów obowiązków pracowników z zagadnieniami dotyczącymi bezpieczeństwa informacji. ABIODO Obiegówka? KADRY ASI IODO KKO UŻYTKOWNIK 32
Funkcjonalne systemy WERYFIKACJA SIWBI
Konstytucyjne i ustawowe zasady ochrony danych osobowych KROK 2 WDROŻENIOWY INSPEKTOR OCHRONY DANYCH OSOBOWYCH WG RODO WYZNACZENIE 34
INTERDYSCYPLINARNOŚĆ ZAWODOWA ABI 20% PRAWNIK IODO 20% IT Nie jest referentem ds. upoważnień i oświadczeń, tabel i rejestrów jednostki organizacyjnej. 20% PEDAGOG. 20% PSYCHOLOG. / SOCJOLOG. 20% ZARZĄDCA
RODO ADO PO NOWEMU
RODO
RODO ADO PO NOWEMU Radca, IT,
UODO 36 a RODO ABIODO PO NOWEMU
Porównanie przepisów: Art. 36a ust. 5 pkt 2) posiada odpowiednią wiedzę w zakresie ochrony danych osobowych; Art. 37 ust. 5.Inspektor ochrony danych jest wyznaczany na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia zadań, o których mowa w art. 39./RODO/ Porównanie przepisów!!! Art. 2 pkt 2) edukacja formalna kształcenie realizowane przez publiczne i niepubliczne szkoły oraz inne podmioty systemu oświaty, uczelnie oraz inne podmioty systemu szkolnictwa wyższego, w ramach programów, które prowadzą do uzyskania kwalifikacji pełnych, kwalifikacji nadawanych po ukończeniu studiów podyplomowych,
Porównanie przepisów:
Funkcjonalne systemy ANALIZA RYZYKA ADO + IODO + ASI
100 % ryzyka AB I ODO nie posiada kompetencji ma wiedzę? UODO, nie ma kwalifikacji RODO, nie jest audytorem BI KRI wg PN 27001 i rodzina 2700x
Co wie o: UODO, RODO, KRI, PN 27001 i rodzina 2700x Twój ADO / ASI, HR
Funkcjonalne systemy AKTUALIZACJA PBI POD KTO WYKONUJE
Aktualizacja Polityki Bezpieczeństwa Informacji Administrator Danych Osobowych ZADANIA 2015 IODO 2018 Art. 36a ust. 1 POWOŁANIE ABI Ust. 4 - POWIERZENIE CZYNNOŚCI DODATKOWYCH Ust. 6 POWOŁANIE ZASTĘPCÓW Ust. 7 PODLEGŁOŚĆ ABI - IODO Ust. 8 ZAPEWNIENIE ŚRODKÓW Art. 46b ZGŁOSZENIE, ZMIANA lub ODWOŁANIE ABI 48
Aktualizacja Polityki Bezpieczeństwa Informacji 49
Aktualizacja Polityki Bezpieczeństwa Informacji 50
NOWY OBOWIĄZEK INFORMACYJNY
Aktualizacja Polityki Bezpieczeństwa Informacji IODO 52
Aktualizacja Polityki Bezpieczeństwa Informacji IODO 53
Konstytucyjne i ustawowe zasady ochrony danych osobowych KROK 3 WDROŻENIOWY ORGANIZACJA OCHRONY DANYCH WG RODO KLASYFIKACJA KATEGORII DANYCH ORAZ OPERACJI 54
Zakres aktualizacji PBI art.36 UODO / RODO Klasyfikacja ABI 2015: 1. przepisów prawa 2. -- przepisów prawa organizacji 3. -- kategorii danych 4. -- kategorii zbiorów 5. -- kategorii przetwarzania 6. -- kategorii użytkowników
Zakres aktualizacji PBI art.36 UODO/ RODO Klasyfikacja użytkowników: 1. wnioski, formularze 2. -- pisma, etc 3. -- sprawy personalne 4. -- cctv ochrona 5. -- KURATORZY SPOŁECZNI
KLASYFIKACJA - OPERACJI - PRZETWARZANIA DANYCH >> Przetwarzanie danych- to wszelkie operacje wykonywane na danych osobowych; 20. KRI A.UDOSTĘPNIANIE ART.23 [~] = WNIOSEK B. POWIERZANIE ART. 31= UMOWA C.PRZESYŁANIE / TRANSFER = ART.23[~] USTAWA / Y D. Usuwanie danych - to trwałe zniszczenie danych osobowych uniemożliwiające identyfikację osoby;
Konstytucyjne i ustawowe zasady ochrony danych osobowych KROK 3 WDROŻENIOWY ORGANIZACJA OCHRONY DANYCH WG RODO AUDYT BEZPIECZEŃSTWA INFORMACJI 58
AUDYT BI ZADANIE 2018 IODO 2018 59
Uprawnienia formalne audytu zewnętrznego
61
Aktualizacja Polityki Bezpieczeństwa Informacji Administrator Danych Osobowych ZADANIA 2015 Art. 36a ust. 1 POWOŁANIE ABI ZADANIE 2018 IODO 2018 62
Funkcjonalne systemy OCENA SKUTKÓW
Aktualizacja Polityki Bezpieczeństwa Informacji Administrator Bezpieczeństwa Informacji 2015 Art. 19b ust. 1 GIODO po rejestracji ABI.. poleca ust. 2 poprzez ADO SPRAWOZDANIE do GIODO Art. 36a ust. 2 pkt 1 lit. a c - ZADANIA 1. Sprawdzanie, [planowana kontrola okresowa] 2. Nadzorowanie, [kontrola bieżąca] 3. Zapoznanie [szkolenie] 4. ust. 2 pkt 2 REJESTR ZBIORÓW 5. Art. 36c SPRAWOZDANIE [GIODO, ADO] 6. Art. 36 c pkt 5 - SPRAWDZENIE 64
Aktualizacja Polityki Bezpieczeństwa Informacji UODO RESORTOWE PBI / IZSI UOIPP / KRI U KPracy 65
Aktualizacja Polityki Bezpieczeństwa Informacji Procesowe zasady tworzenia dokumentacji: SIWBI specyfikacja istotnych warunków bezpieczeństwa informacji; Inwentaryzacja aktywów; Analiza potrzeb placówki; Określenie możliwości budżetowych; Struktura organizacyjna; Dywersyfikacja zadań; Wdrożenie dokumentacji; Szkolenia informacyjne; Amortyzacja sprzętu IT - wiedzy użytkowników; WSPARCIE? zewnętrzne / niezależne konsultacje [obiektywizm] 66
Zakres aktualizacji PBI art.36 - aktywa ŚRODKI ORGANIZACYJNE STRUKTURA ZADANIA ŚRODKI TECHNICZNE WARUNKI TECHNICZNE PROCEDURY ŚRODKI FIZYCZNEJ OCHRONY DANYCH PERSONEL / USŁUGI ZASOBY/ zbiory
Analiza statutu i prawa miejscowego pod wzgl. zgodności z PBI PBI ZGODNOŚĆ ZAPISÓW UODO KRI i KZ zgodność zapisów INSTRUKCJA KANCEL. - JRWA
centralizacja i decentralizacja procesów zabezpieczenia informacji uprawnia do stosowania przez administratorów innych rozwiązań organizacyjnych np. lokalne zakresy odpowiedzialności ADMINISTRATOR DANYCH (KJO) PODLEGA BEZPOŚREDNIO Administrator Bezpieczeństwa Informacji (ABI) ZGODNIE Z ART. 36 UST 1 W OPARCIU O SCHEMAT ORGANIZACYJNY Administrator Systemu Informatycznego (ASI)
U. SKARB. ART.23 [ ] POWIERZENIE - ART.31 PODPOWIERZENIE DALSZE POWIERZENIE ADO MEDYCYNA ART. 31 PODWYKO - - NAWCA / LABORAT. SIO ART.23/1/2 ZUS ART.23/1/1
Funkcjonalne systemy OCENA ZAGROŻEŃ
GAZETA WYBORCZA
GAZETA PRAWNA
GAZETA PRAWNA
ZAGROŻENIA
Konstytucyjne i ustawowe zasady ochrony danych osobowych KROK 4 WDROŻENIOWY ORGANIZACJA OCHRONY DANYCH WG RODO SZCZEGÓLNE ZADANIA IODO W TRAKCIE WYBORÓW 2018 76
Aktualizacja Polityki Bezpieczeństwa Informacji ZADANIA IODO 77
Aktualizacja Polityki Bezpieczeństwa Informacji ZADANIA IODO METODOLOGIA AUDYTU BI ISO PN 27001 78
Zaangażowanie Kierownictwa w procesie tworzenia PBI Odpowiednie reagowanie na wdrożenie nowych przepisów PBI zgodna z celami statutowymi Powszechna edukacja, okresowe szkolenia doskonalące i informowanie Planowanie środków na rozwijanie bezpieczeństwa [UODO i 117 SIO] PODSUMOWANIE 2014 ADO /ABI ABI [WŁASNY] OBOWIĄZKOWY 2015 - V 2018 ABI - WŁASNY LUB ZEWNĘTRZNY IOD 25 MAJA 2018 WŁASNY LUB ZEWNĘTRZNY
Aktualizacja Polityki Bezpieczeństwa Informacji Art. 266. 1. Kto, wbrew przepisom ustawy lub przyjętemu na siebie zobowiązaniu, ujawnia lub wykorzystuje informację, z którą zapoznał się w związku z pełnioną funkcją, wykonywaną pracą, działalnością publiczną, społeczną, gospodarczą lub naukową, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. Art. 267. 1. Kto bez uprawnienia uzyskuje dostęp do informacji dla niego nieprzeznaczonej, otwierając zamknięte pismo, podłączając się do sieci telekomunikacyjnej lub przełamując albo omijając elektroniczne, magnetyczne, informatyczne lub inne szczególne jej zabezpieczenie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. 2. Tej samej karze podlega, kto bez uprawnienia uzyskuje dostęp do całości lub części systemu informatycznego. 3. Tej samej karze podlega, kto w celu uzyskania informacji, do której nie jest uprawniony, zakłada lub posługuje się urządzeniem podsłuchowym, wizualnym albo innym urządzeniem lub oprogramowaniem. 80
Dziękuję za uwagę. Proszę o zadawanie pytań? 508-608-136 jaroslaw.felinski@gazeta.pl 81
Jarosław Feliński - Praktyk, wykładowca wyższych uczelni; (wykładowca na studiach podyplomowych z problematyki zarządzania bezpieczeństwem informacji: Uniwersytetu Jagiellońskiego w Krakowie; AGH Kraków; DSW Wrocław; WSAP Szczecin; Wyższej Szkoły Informatyki Stosowanej i Zarządzania pod auspicjami Polskiej Akademii Nauk WIT Warszawa, WSE Białystok, Twórca autorskiego programu podyplomowych studiów zarządzania bezpieczeństwem informacji dla ABI 2013 i IODO 2017 kierownik studiów podyplomowych w roku akademickim od 2013 2017/2018. Autor programu studiów podyplomowych Inspektor Ochrony Danych Osobowych poziom zaawansowany w WSISiZ PAN Warszawa - 2017/2018. Audytor Wiodący PN ISO/IEC 27001 [IRCA]. Od 2016 konsultant i ABI wybranych placówek oświatowych Miasta Stołecznego Warszawy. W latach 2009-2011 wykładowca i uczestnik Projektu FRDL Warszawa / Gdańsk 5.2 POIG o charakterze proinnowacyjnym: Opracowanie i wdrożenie systemu wsparcia przedsiębiorstw kluczowych technologii wspomagających w zakresie zarządzania wiedzą, dofinansowanego ze środków Europejskiego Funduszu Rozwoju Regionalnego w ramach Programu Operacyjnego Innowacyjna Gospodarka. Prezes Stowarzyszenia Inspektorów Ochrony Danych Osobowych w Polsce.