Zasady ochrony danych osobowych

Podobne dokumenty
Ustawa o ochronie danych osobowych po zmianach

Zmiany w ustawie o ochronie danych osobowych

Ochrona wrażliwych danych osobowych

Katarzyna Sadło. Ochrona danych osobowych w organizacjach pozarządowych. Kraków, 13 grudnia (stan obecny)

Program ochrony danych osobowych na poziomie LGR. radca prawny Jarosław Ornicz

Szkolenie podstawowe z ustawy o ochronie danych osobowych dla wolontariuszy świadczących pomoc na rzecz podopiecznych Ośrodka Pomocy Społecznej

Bezpieczeństwo informacji. Opracował: Mariusz Hoffman

WZÓR ZGŁOSZENIE ZBIORU DANYCH DO REJESTRACJI GENERALNEMU INSPEKTOROWI OCHRONY DANYCH OSOBOWYCH

INSTRUKCJE DOTYCZĄCE OCHRONY DANYCH OSOBOWYCH W KANCELARII DORADZTWA PODATKOWEGO

Ochrona danych osobowych przy obrocie wierzytelnościami

Szkolenie. Ochrona danych osobowych

Jak zidentyfikować zbiór danych osobowych w swojej firmie?

danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 i Nr 153, poz oraz z 2004 r. Nr 25, poz. 219 i Nr 33, poz. 285),

II Lubelski Konwent Informatyków i Administracji r.

POLITYKA BEZPIECZEŃSTWA w Gimnazjum nr 1 w Żarach. Podstawa prawna

Określa się wzór zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych, stanowiący załącznik do rozporządzenia.

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI (1) z dnia 29 kwietnia 2004 r.

Przetwarzanie danych osobowych w przedsiębiorstwie

Ochrona danych osobowych

Zbiór danych osobowych Akcjonariusze spółki - księga akcyjna

Ochrona danych osobowych w biurze rachunkowym (cz. 3) - Czym jest przetwarzanie danych osobowych?

PolGuard Consulting Sp.z o.o. 1

PRAWNE UWARUNKOWANIA WYKORZYSTANIA DANYCH INDYWIDUALNYCH W CELU EWALUACJI POLITYKI ZATRUDNIENIA W POLSCE

Zbiór danych osobowych Skargi, wnioski, podania

ZGŁOSZENIE ZBIORU DANYCH DO REJESTRACJI GENERALNEMU INSPEKTOROWI OCHRONY DANYCH OSOBOWYCH

Rozporządzenie Ministra Spraw Wewnętrznych i Administracji 1) z dnia 11 grudnia 2008 r.

Ochrona danych osobowych

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM PRZETWARZAJĄCYM DANE OSOBOWE W FIRMIE


Ochrona danych osobowych

ZARZĄDZENIE NR 22. z dnia 2 lipca 2008 r.

SPIS ZBIORÓW DANYCH OSOBOWYCH. Metryka wpisu zbioru do rejestru. Informacje o administratorze danych osobowych

Zarządzenie nr 101/2011

ABI EXPERT+ Ochrona danych osobowych. Warsztat specjalistyczny. Zadania Administratora danych osobowych. Skuteczne narzędzie ADO

Jak nie wdepnąć w GIODO, czyli co musi wiedzieć dział HR o ochronie danych osobowych. Jacek Bajorek Instytut Zarządzania Bezpieczeństwem Informacji

Zwykłe dane osobowe, a dane wrażliwe

Przetwarzania danych osobowych

Jakie są podstawowe obowiązki wynikające z ustawy o ochronie danych osobowych?

Podstawowe obowiązki administratora danych osobowych

ZGŁOSZENIE ZBIORU DANYCH DO REJESTRACJI GENERALNEMU INSPEKTOROWI OCHRONY DANYCH OSOBOWYCH

POLITYKA BEZPIECZEŃSTWA

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM PRZETWARZAJĄCYM DANE OSOBOWE W FIRMIE

SPIS ZBIORÓW DANYCH OSOBOWYCH

Zbiór danych osobowych MIGAWKI

Szkolenie podstawowe z rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 dla wolontariuszy świadczących pomoc na rzecz podopiecznych

Szkolenie podstawowe z ustawy o ochronie danych osobowych, w związku z realizacją zadań w zakresie przeciwdziałania przemocy w rodzinie.

ZGŁOSZENIE ZBIORU DANYCH DO REJESTRACJI GENERALNEMU INSPEKTOROWI OCHRONY DANYCH OSOBOWYCH

REGULAMIN ZASAD OCHRONY DANYCH OSOBOWYCH W SPÓŁDZIELNI MIESZKANIOWEJ ODJ W KRAKOWIE

System bezpłatnego wsparcia dla NGO

1 z , 17:00

DANE OSOBOWE DOBREM OSOBISTYM XXI WIEKU. PAMIĘTAJ!!!! Prywatność jest wartością tak cenną, że musi być chroniona przez prawo.

Bezpieczeństwo danych osobowych listopada 2011 r.

POLITYKA BEZPIECZEŃSTWA

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH W SZKOLE PODSTAWOWEJ W CHRUŚLINIE

ADMINISTRACJI z dnia 1 września 2017 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych

POLITYKA BEZPIECZEŃSTWA SYSTEMÓW INFORMATYCZNYCH SŁUŻĄCYCH DO PRZETWARZNIA DANYCH OSOBOWYCH W URZĘDZIE GMINY DĄBRÓWKA

1 z :46

Rodzaje danych (informacji) m.in.: Podmioty przetwarzające dane: podmioty publiczne, podmioty prywatne.

Ryzyko nadmiernego przetwarzania danych osobowych

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia 29 kwietnia 2004 r.

Podstawowe zasady przetwarzania danych osobowych:

REGULAMIN OCHRONY DANYCH OSOBOWYCH w Szkole Muzycznej I stopnia w Dobczycach

Ochrona Danych Osobowych

REJESTR ZBIORÓW. z dnia 11 maja 2015 r. w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru

Dane osobowe na potrzeby prowadzenia działań windykacyjnych -1-

POLITYKA OCHRONY DANYCH OSOBOWYCH

Polityka bezpieczeństwa przeznaczona dla administratora danych, który nie powołał administratora bezpieczeństwa informacji

Obowiązki ADO. Zasady przetwarzania danych osobowych. Jarosław Żabówka IV Internetowe Spotkanie ABI

POLITYKA BEZPIECZEŃSTWA INFORMACJI I PRZETWARZANIA DANYCH OSOBOWYCH W SZKOLE PODSTAWOWEJ W PŁUŻNICY

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI (1) z dnia 29 kwietnia 2004 r.

Obowiązki lekarza, lekarza dentysty wykonującego działalność leczniczą w ramach praktyki zawodowej związane z ochroną danych osobowych

REGULAMIN OCHRONY DANYCH OSOBOWYCH W SPÓŁDZIELNI MIESZKANIOWEJ MISTRZEJOWICE-PÓŁNOC w Krakowie

Ochrona danych osobowych

Bezpieczeństwo teleinformatyczne danych osobowych

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH w przedsiębiorstwie QBL Wojciech Śliwka Daszyńskiego 70c, Ustroń

Co należy zaznaczyć wypełniając wniosek do GIODO podpowiedzi iwareprint

OCHRONA DANYCH OSOBOWYCH W BIBLIOTECE J U S T Y N A J A N K O W S K A

Zespół Kształcenia i Wychowania w Kamienicy Szlacheckiej REJESTR ZBIORÓW. Administrator Danych Bernadeta kucyk - dyrektor

DANE OSOBOWE TO WSZELKIE INFORMACJE DOTYCZĄCE: zidentyfikowanej osoby fizycznej

PROCEDURA / POLITYKA OCHRONY DANYCH OSOBOWYCH OBOWIĄZUJACA W PRZEDSZKOLU Nr 44

REJESTR ZBIORÓW. Administrator Danych Jan Drajewicz. Dnia r. w podmiocie o nazwie Zespół Szkół nr 2 w Dukli. z dnia 11 maja 2015 r.

ZASADY PRZETWARZANIA I OCHRONY DANYCH OSOBOWYCH NA UCZELNIACH WYŻSZYCH

Stosownie do art. 41 ust. 1 ustawy zgłoszenie zbioru danych do rejestracji powinno zawierać:

Polityka Prywatności portalu 1. Postanowienia ogólne

OCHRONA DANYCH OSOBOWYCH

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH

KONSTYTUCJA RZECZYPOSPOLITEJ POLSKIEJ

TWOJE DANE TWOJA SPRAWA. Prawo do prywatności i ochrony danych osobowych

BIURO GIODO Departament Inspekcji

OCHRONA DANYCH OSOBOWYCH. Administrator Bezpieczeństwa Informacji kom. mgr Piotr Filip

REGULAMIN OCHRONY DANYCH OSOBOWYCH w Spółdzielni Mieszkaniowej KISIELIN w Zielonej Górze

OCHRONA DANYCH OSOBOWYCH W SPÓŁDZIELNI MIESZKANIOWEJ MSZCZONOWSKA. Łukasz Zegarek 29 listopada 2016 r.

POLITYKA BEZPIECZEŃSTWA

PolGuard Consulting Sp. z o.o.

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH W SPÓŁDZIELNI MIESZKANIOWEJ ODJ KRAKÓW

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH

POLITYKA BEZPIECZEŃSTWA INFORMACJI. Heksagon sp. z o.o. z siedzibą w Katowicach. (nazwa Administratora Danych)

6. Rozporządzenie wchodzi w życie po upływi e 14 dni od dnia ogłoszenia.

CO ZROBIĆ ŻEBY RODO NIE BYŁO KOLEJNYM KOSZMAREM DYREKTORA SZKOŁY? mgr inż. Wojciech Hoszek

DYREKTORA PRZEDSZKOLA NR 42 IM. PRZYJACIÓŁ PRZYRODY W BIELSKU - BIAŁEJ Z DNIA 1 WRZEŚNIA 2014 ROKU

Transkrypt:

Zasady ochrony danych osobowych karon@womczest.edu.pl tel. 34 360 60 04 wew. 227 Tomasz Karoń nauczyciel konsultant, Administrator Bezpieczeństwa Informacji RODN WOM w Częstochowie Obrazek: https://pixabay.com/pl/cyfrowe-znak-drogowy-zabezpiecze%c5%84-579553/

Ustawa zasadnicza KONSTYTUCJA RZECZYPOSPOLITEJ POLSKIEJ z dnia 2 kwietnia 1997 r. Art. 51. 1. Nikt nie może być obowiązany inaczej niż na podstawie ustawy do ujawniania informacji dotyczących jego osoby. 2. Władze publiczne nie mogą pozyskiwać, gromadzić i udostępniać innych informacji o obywatelach niż niezbędne w demokratycznym państwie prawnym. 3. Każdy ma prawo dostępu do dotyczących go urzędowych dokumentów i zbiorów danych. Ograniczenie tego prawa może określić ustawa. 4. Każdy ma prawo do żądania sprostowania oraz usunięcia informacji nieprawdziwych, niepełnych lub zebranych w sposób sprzeczny z ustawą. 5. Zasady i tryb gromadzenia oraz udostępniania informacji określa ustawa. Clipart: https://pixabay.com/pl/certyfikat-papieru-pergamin-rolka-154169/, Godło: https://pl.wikipedia.org/wiki/ustr%c3%b3j_polityczny_polski#/media/file:coat_of_arms_of_poland-official3.png

Ustawa o ochronie danych osobowych zwana dalej ustawą Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. (Dz. U. 2016 r. poz. 922)) Clipart: https://pixabay.com/pl/dziewczyna-ksi%c4%85%c5%bcek-szko%c5%82y-czytanie-160169/

Ustawa o ochronie danych osobowych Art. 2. Ustawę stosuje się do przetwarzania danych osobowych w: kartotekach, skorowidzach, księgach, wykazach, innych zbiorach ewidencyjnych, w systemach informatycznych, także w przypadku przetwarzania danych poza zbiorem danych. Zdjęcie: https://pixabay.com/pl/katalog-kart-szuflady-drewno-194280/

Dane osobowe i osoba możliwa do zidentyfikowania Ustawa w art. 6 ust. 1 stanowi, iż za: dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. W ust. 2 analizowanego przepisu ustawy wskazano, iż: osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. Ust 3. Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań. Zdjęcie i Clipart: https://pixabay.com/pl/osobowych-grupy-ludzi-sieci-358065/, https://pixabay.com/pl/kobieta-moc-osobowych-kontroli-654763/

Ilekroć w ustawie jest mowa o: zbiorze danych - rozumie się przez to każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie; przetwarzaniu danych - rozumie się przez to jakiekolwiek operacje wykonywane na danych osobowych, takie jak: zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych, Clipart: https://pixabay.com/pl/ze-strz%c4%99piarki-dokument-311638/

Ilekroć w ustawie jest mowa o: zabezpieczeniu danych w systemie informatycznym - rozumie się przez to wdrożenie i eksploatację stosownych środków technicznych i organizacyjnych zapewniających ochronę danych przed ich nieuprawnionym przetwarzaniem, usuwaniu danych - rozumie się przez to zniszczenie danych osobowych lub taką ich modyfikację, która nie pozwoli na ustalenie tożsamości osoby, której dane dotyczą; administratorze danych ADO - rozumie się przez to: osobę, decydującą o celach i środkach przetwarzania danych osobowych. Clipart: https://pixabay.com/pl/pewny-zamek-polityka-prywatno%c5%9bci-538713/

Zasady przetwarzania danych osobowych Zasada legalności art. 26 ust. 1 pkt 1 Administrator Danych Osobowych ma obowiązek przetwarzać dane z zachowaniem przynajmniej jednej z przesłanek legalności (art. 23): 1) osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych, 2) jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa, 3) jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą, 4) jest to niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego, 5) jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.

Zasady przetwarzania danych osobowych Zasada legalności art. 26 ust. 1 pkt 1 Odrębny reżim przetwarzania danych dotyczy danych szczególnie chronionych danych wrażliwych, sensytywnych (art. 27 ust 1). Zdjęcie: https://pixabay.com/pl/deskorolka-dziecko-ch%c5%82opiec-331751/

Dane wrażliwe (sensytywne) Danymi wrażliwymi (sensytywnymi) są, wedle postanowień ustawy (art. 27 ust 1), dane: ujawniające pochodzenie rasowe lub etniczne, ujawniające poglądy polityczne, ujawniające przekonania religijne lub filozoficzne, ujawniające przynależność wyznaniową, partyjną lub związkową, o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym, dotyczące skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym. Clipart: https://pixabay.com/pl/osobowych-grupy-ludzi-sieci-358065/

Dane wrażliwe (sensytywne) Przetwarzanie wrażliwych danych osobowych jest dopuszczalne jeżeli (art. 27 ust 2): osoba, której dane dotyczą, wyrazi na to zgodę na piśmie, chyba że chodzi o usunięcie dotyczących jej danych, przepis szczególny innej ustawy zezwala na przetwarzanie takich danych bez zgody osoby, której dane dotyczą i stwarza pełne gwarancje ich ochrony, przetwarzanie takich danych jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą lub innej osoby, gdy osoba, której dane dotyczą nie jest fizycznie lub prawnie zdolna do wyrażenia zgody, do czasu ustanowienia opiekuna prawnego lub kuratora, Clipart: https://pixabay.com/pl/ze-strz%c4%99piarki-dokument-311638/

Dane wrażliwe (sensytywne) jest to niezbędne do wykonania statutowych zadań kościołów i innych związków wyznaniowych, stowarzyszeń, fundacji lub innych niezarobkowych organizacji lub instytucji o celach politycznych, naukowych, religijnych, filozoficznych lub związkowych, pod warunkiem, że przetwarzanie danych dotyczy wyłącznie członków tych organizacji lub instytucji albo osób utrzymujących z nimi stałe kontakty w związku z ich działalnością i zapewnione są pełne gwarancje ochrony przetwarzanych danych, przetwarzanie dotyczy danych, które są niezbędne do dochodzenia praw przed sądem, Clipart: https://pixabay.com/pl/ochrony-%c5%9brodowiska-przyrody-ekologia-326923/

Dane wrażliwe (sensytywne) przetwarzanie jest niezbędne do wykonania zadań administratora danych odnoszących się do zatrudnienia pracowników i innych osób, a zakres przetwarzanych danych jest określony w ustawie, przetwarzanie jest prowadzone w celu ochrony stanu zdrowia, świadczenia usług medycznych lub leczenia pacjentów przez osoby trudniące się zawodowo leczeniem lub świadczeniem innych usług medycznych, zarządzania udzielaniem usług medycznych i są stworzone pełne gwarancje ochrony danych osobowych, przetwarzanie dotyczy danych, które zostały podane do wiadomości publicznej przez osobę, której dane dotyczą, Clipart:: https://pixabay.com/pl/aroni-arsa-dzieci-ma%c5%82o-wz%c3%b3r-738303/

Zasady przetwarzania danych osobowych Zasada celowości - art. 26 ust. 1 pkt 2 zwana zasadą związania z celem Zbierający dane nie może pominąć, ani zataić celu Nie można określać celu przetwarzania danych w sposób ogólnikowy Cel powinien być zakomunikowany zainteresowanemu przed zebraniem danych Clipart: https://pixabay.com/pl/rzutki-dart-gry-bull-s-eye-cel-155726/

Zasady przetwarzania danych osobowych Zasada adekwatności - art. 26 ust. 1 pkt 3 Administrator powinien przetwarzać tylko takiego rodzaju dane i o takiej treści, które są niezbędne dla realizacji celu przetwarzania danych. Zakres danych osobowych adekwatnych do celu przetwarzania oceniać trzeba każdorazowo z uwzględnieniem stosunku prawnego w związku z którym administrator przetwarza dane (wyr. NSA 19.XII.2001 r., II SA 2869/2000) W niektórych przepisach wskazano zakres danych adekwatnych do celu przetwarzania są one lex specialis i wyłączają zasadę adekwatności. Clipart: https://pixabay.com/pl/strza%c5%82ki-adaptacja-zmiany-kierunku-709731/

Zasady przetwarzania danych osobowych Zasada ograniczenia czasowego - art. 26 ust. 1 pkt 4 Administrator może przetwarzać dane nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania. W tym celu administrator jest zobowiązany do stałego nadzorowania zawartości swoich zbiorów pod kątem konieczności usuwania danych zbędnych. Clipart: https://pixabay.com/pl/drogowych-celem-punkt-zwrotny-820846/

Prawa osoby, której dane dotyczą (rozdział 4 ustawy) Każdej osobie przysługuje prawo do kontroli przetwarzania danych, które jej dotyczą, zawartych w zbiorach danych, a zwłaszcza prawo do: uzyskania wyczerpującej informacji, czy taki zbiór istnieje, oraz do ustalenia administratora danych, adresu jego siedziby i pełnej nazwy, a w przypadku gdy administratorem danych jest osoba fizyczna - jej miejsca zamieszkania oraz imienia i nazwiska, uzyskania informacji o celu, zakresie i sposobie przetwarzania danych zawartych w takim zbiorze, uzyskania informacji, od kiedy przetwarza się w zbiorze dane jej dotyczące, oraz podania w powszechnie zrozumiałej formie treści tych danych, uzyskania informacji o źródle, z którego pochodzą dane jej dotyczące, chyba że administrator danych jest zobowiązany do zachowania w tym zakresie w tajemnicy informacji niejawnych lub zachowania tajemnicy zawodowej, Clipart: https://pixabay.com/pl/sprawiedliwo%c5%9bci-skali-914228/

Prawa osoby, której dane dotyczą (rozdział 4 ustawy) żądania uzupełnienia, uaktualnienia, sprostowania danych osobowych, czasowego lub stałego wstrzymania ich przetwarzania lub ich usunięcia, jeżeli są one niekompletne, nieaktualne, nieprawdziwe lub zostały zebrane z naruszeniem ustawy albo są już zbędne do realizacji celu, dla którego zostały zebrane, wniesienia sprzeciwu wobec przetwarzania jej danych, gdy administrator danych zamierza je przetwarzać w celach marketingowych lub wobec przekazywania jej danych osobowych innemu administratorowi danych. Clipart: https://pixabay.com/pl/ksi%c4%85%c5%bcek-notatnika-pi%c3%b3ro-edukacja-690219/

Administrator bezpieczeństwa informacji Zgodnie z regulacją art. 36a ust. 1 ustawy - administrator danych może wyznaczyć administratora bezpieczeństwa informacji - ABI, ADO zapewnia środki i organizacyjną odrębność ABI niezbędne do niezależnego wykonywania zadań (art. 36a ust 8) ABI podlega bezpośrednio ADO (art. 36a ust 7), ADO może powołać zastępców ABI (art. 36a ust 6) Administratorem bezpieczeństwa informacji może być osoba, która (art. 36a ust 5): Ma pełną zdolność do czynności prawnych oraz korzysta z pełni praw publicznych; Posiada odpowiednią wiedzę w zakresie ochrony danych osobowych; Nie była karana za przestępstwo umyślne; Clipart: https://pixabay.com/pl/sowa-zwierz%c4%85t-ptak-komputer-158414/

Administrator bezpieczeństwa informacji ADO jest obowiązany zgłosić GIODO powołanie ABI w terminie 30 dni od jego powołania wypełniając zgłoszenie, zawierające m.in.: Oświadczenie ADO o spełnianiu przez ABI warunków określonych w art. 36a ust 5 (niekarany, posiada wiedzę) i w art. 36a ust 7 (podleganie bezpośrednio ADO) Będzie wydane rozporządzenie zawierające wzór zgłoszenia (obecnie na etapie projektu w Komisji Prawniczej) ADO może powierzyć ABI wykonywanie innych obowiązków, jeżeli nie naruszy to prawidłowego wykonywania zadań (art. 36a ust. 4) Jeżeli ADO nie powoła ABI to sam wykonuje jego obowiązki za wyjątkiem sporządzania sprawozdania (art. 36b) ABI wyznaczony na podstawie art. 36 ust 3 zmienianej ustawy pełni obowiązki do 30 czerwca 2015 r. (art. 35 ustawy o ułatwieniu działalności gospodarczej). Clipart: https://pixabay.com/pl/cz%c5%82owiek-avatora-osoby-admin-161282/

Do zadań ABI należy: Administrator bezpieczeństwa informacji zapewnienie przestrzegania przepisów o ochronie danych osobowych, w szczególności poprzez: Sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych os. oraz opracowywanie sprawozdania dla administratora danych Nadzorowanie opracowywania i aktualizowania dokumentacji ochrony danych osobowych oraz przestrzeganie zasad w niej określonych Zapewnienie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych Sposób realizacji powyższych obowiązków określi rozporządzenie aktualnie jest projekt Prowadzenie jawnego rejestru zbiorów danych przetwarzanych przez ADO

Powinno zawierać m.in. (art. 36c): Sprawozdanie dla ADO Określenie przedmiotu i zakresu sprawdzenia Opis stanu faktycznego stwierdzonego w toku sprawdzenia oraz wszelkie informacje mające istotne znaczenie dla oceny zgodności przetwarzania danych osobowych z przepisami Stwierdzone przypadki naruszenia przepisów o ochronie danych osobowych w zakresie objętym sprawdzeniem wraz z działaniami przywracającymi stan zgodny z prawem Podpis ABI Szczegółowy zakres czynności do których uprawniony jest ABI określa rozporządzenie Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie trybu i sposobu realizacji zadań w celu zapewnienia przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji (Dz. U. z 2015, poz. 745) Sprawozdanie jest tworzone dla ADO na podstawie: Planu sprawdzeń Działań nieplanowanych np. powzięcia informacji o naruszeniu ochrony Sprawozdanie jest tworzone dla GIODO na podstawie art. 19b ust 1, gdy GIODO zwróci się o to podając zakres i termin sprawdzenia

Nadzorowanie opracowywania i aktualizowania dokumentacji ochrony danych Nadzór, polega na weryfikacji: Opracowania i kompletności dokumentacji przetwarzania danych osobowych Zgodności dokumentacji przetwarzania danych z obowiązującymi przepisami Stanu faktycznego w zakresie przetwarzania danych osobowych Skuteczności przewidzianych w dokumentacji środków technicznych i organizacyjnych Przestrzegania obowiązków określonych w dokumentacji przetwarzania danych W przypadku wykrycia nieprawidłowości ABI: Zawiadamia ADO o brakach w dokumentacji, w szczególności przedstawia mu dokumenty do wdrożenia Poucza lub instruuje osoby nieprzestrzegające zasad określonych w dokumentacji lub zawiadamia ADO wskazując osoby odpowiedzialne Powyższe czynności mogą być wykonywane w formie sprawozdania lub dodatkowym dokumencie (notatka służbowa) Clipart: https://pixabay.com/pl/inspektor-cz%c5%82owiek-detektyw-160143/

Prowadzenie przez ABI rejestru zbiorów danych ADO ma obowiązek zgłosić zbiór do rejestracji w GIODO za wyjątkiem przypadków określonych w art. 43 ust. 1 i 1a (art. 40 ustawy) Art. 43 ust 1 pkt 4 - obowiązku rejestracji są zwolnieni ADO przetwarzający dane osób u nich zatrudnionych, osób, którym świadczą usługi na podstawie umów cywilnoprawnych, osób u nich zrzeszonych lub uczących się Prowadzenie rejestru przez ABI zdejmuje obowiązek rejestracji zbiorów danych w GIODO za wyjątkiem zbiorów zawierających dane sensytywne (art. 27 ust 1) art. 43 ust 1a ustawy Clipart: https://pixabay.com/pl/lista-kontrolna-sprawd%c5%ba-sprawdzone-152131/

Prowadzenie przez ABI rejestru zbiorów danych Na podstawie rozporządzenia Ministra Administracji i Cyfryzacji z 11 maja 2015 r. w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbiorów danych (Dz. U. z 2015, poz. 719) Rejestr prowadzony jest w formie papierowej lub elektronicznej Szczegółową zawartość rejestru określa art. 41 ust 1 pkt 2 7, powinno się tam znaleźć m.in. podstawa prawna upoważniająca do prowadzenia zbioru danych, cel przetwarzania danych w zbiorze, zakres danych przetwarzanych w zbiorze ABI dokonuje wpisu do rejestru: przy rozpoczęciu przetwarzania w nim danych osobowych, aktualizacji informacji dot. zbioru, wykreślenia zbioru danych ADO udostępnia rejestr albo poprzez witrynę internetową albo w siedzibie administratora każdemu zainteresowanemu Clipart: https://pixabay.com/pl/ksi%c4%85%c5%bcki-adresowej-ksi%c4%85%c5%bcka-97572/

Rozporządzenie Rozporządzenie Ministra Spraw Wewnetrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024) Najważniejsze zapisy Rozporządzenia to: 1. Na dokumentację, o której mowa w 1 pkt 1, składa się polityka bezpieczeństwa i instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych, zwana dalej instrukcją 2. Dokumentację, o której mowa w 1 pkt 1, prowadzi się w formie pisemnej. 3. Dokumentację, o której mowa w 1 pkt 1, wdraża administrator danych. Clipart: https://openclipart.org/detail/194543/document-sheet

Polityka bezpieczeństwa Polityka bezpieczeństwa, o której mowa w 3 ust. 1, zawiera w szczególności: 1) wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe; 2) wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych; 3) opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi; 4) sposób przepływu danych pomiędzy poszczególnymi systemami; 5) określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych. Clipart: https://openclipart.org/detail/194536/documents

Instrukcja zarządzania systemem informatycznym Instrukcja, o której mowa w 3 ust. 1, zawiera w szczególności: 1) procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności; 2) stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem; 3) procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu; 4) procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania; Clipart: https://openclipart.org/detail/222620/cipy-rules

Instrukcja zarządzania systemem informatycznym 5) sposób, miejsce i okres przechowywania: a. elektronicznych nośników informacji zawierających dane osobowe, b. kopii zapasowych, o których mowa w pkt 4, 6) sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, o którym mowa w pkt III ppkt 1 załącznika do rozporządzenia (opr. nieupr. dost. do sys.); 7) sposób realizacji wymogów, o których mowa w 7 ust. 1 pkt 4 (inf. o odbiorcach danych); 8) procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych. Clipart: https://pixabay.com/pl/w-p%c3%b3%c5%82kolu-gummi-bears-galaretka-907843/

Upoważnienia art. 37 ustawy - Do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych. art. 39 ust. 2 ustawy - Osoby, które zostały upoważnione do przetwarzania danych, są obowiązane zachować w tajemnicy te dane osobowe oraz sposoby ich zabezpieczenia. Clipart: https://pixabay.com/pl/stary-mapowanie-folderze-86221/

Stosowane metody i środki Najważniejsze uregulowania: uwierzytelnienia W systemie służącym do przetwarzania danych osobowych stosowane jest uwierzytelnianie użytkownika przy pomocy jego identyfikatora i hasła Identyfikator składa się z pierwszej litery imienia oraz pełnego nazwiska, np. Jan Kowalski identyfikator jkowalski Użytkowników systemu obowiązuje następująca polityka haseł: minimalna długość hasła wynosi 8 (osiem) znaków, zmiana hasła nie rzadziej niż co 30 dni, hasło zawiera małe i wielkie litery oraz cyfry lub znaki specjalne. Użytkownicy systemu nie mogą używać tych samych identyfikatorów, ani wymieniać się identyfikatorami.

Procedury rozpoczęcia, zawieszenia i zakończenia pracy w systemie informatycznym pkt 6 Instrukcji Zarządzania Najważniejsze uregulowania: Tworzymy indywidulane konta na stacjach roboczych Ustawiamy wygaszacze ekranu uruchamiające się po 10 minutach bezczynności systemu. Ustawiamy opcję wyświetlania ekranu logowania po wznowieniu Przed zakończeniem pracy na stacji roboczej przenosimy istotne dane do katalogu udostępnionego z portalu wewnętrznego

Wygaszacz ekranu i jego opcje Windows 7: Panel sterowania -> Personalizacja -> Wygaszacz ekranu

Sposób zabezpieczenia systemu informatycznego przed działalnością szkodliwego oprogramowania. pkt 9 Instrukcji Zarządzania Najważniejsze uregulowania: System informatyczny jest kontrolowany pod kątem obecności wirusów komputerowych, za pomocą licencjonowanego oprogramowania antywirusowego. Po zasygnalizowaniu przez system antywirusowy wystąpienia wirusa, użytkownik powinien natychmiast powiadomić o tym fakcie Administratora Systemu Informatycznego. Podobnie postępujemy gdy mamy podejrzenie, iż w systemie działa wirus. Ponowne uruchomienie systemu może nastąpić jedynie na polecenie upoważnionej przez Administratora Danych osoby

Sprawy różne Wysyłanie emailów do wielu osób korzystamy z pól UDW (ukryte do wiadomości) lub Bcc (ukryta kopia).

Sprawy różne Papierowe zbiory danych osobowych zabezpieczamy przed możliwością wglądu do nich przez osoby nieupoważnione. Clipart: https://pixabay.com/pl/dokumenty-stos-kupa-biznesu-576385/

Sprawy różne Przesyłanie list poprzez email korzystamy z funkcji szyfrowania np. w Excel plik->informacje ->Uprawnienia->Szyfruj przy użyciu hasła

Przepisy karne Art. 49 ust. 1 ustawy - Kto przetwarza w zbiorze dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do których przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. Art. 51 ust. 1 ustawy - Kto administrując zbiorem danych lub będąc obowiązany do ochrony danych osobowych udostępnia je lub umożliwia dostęp do nich osobom nieupoważnionym, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.

Legitymacja służbowa inspektora biura GIODO legitymacja koloru niebieskiego, napisy w kolorze czarnym: Rzeczpospolita Polska, Biuro Generalnego Inspektora Ochrony Danych Osobowych; numer legitymacji, orzeł z godła RP, pasek przekątny koloru biało-czerwonego; Art. 54a ustawy - Kto inspektorowi udaremnia lub utrudnia wykonanie czynności kontrolnej, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. Obraz: gidoo.gov.pl

Dziękuję za uwagę Tomasz Karoń karon@womczest.edu.pl Tel. 34 360 60 04 wew. 227 Obrazy: https://commons.wikimedia.org/wiki/file:dreaming_tux.svg, https://upload.wikimedia.org/wikipedia/commons/4/4d/opensource.gif

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres