PRZETWARZANIE DANYCH OSOBOWYCH

Podobne dokumenty
GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH

Ochrona danych osobowych w oświacie z punktu widzenia samorządu jako organu prowadzącego

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH W PRAKTYCE LEKARSKIEJ/DENTYSTYCZNEJ.... (nazwa praktyki) wydana w dniu... przez...

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH nr.. zawarta w dniu. zwana dalej Umową powierzenia

Załącznik nr 2 do IPU UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH. zawarta w dniu 2015 r. w Warszawie zwana dalej Umową, pomiędzy:

Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych

Umowa o powierzanie przetwarzania danych osobowych

Zarządzenie nr 7 Rektora Uniwersytetu Jagiellońskiego z 26 stycznia 2011 roku

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH Michał Serzycki

Instrukcja zarządzania bezpieczeństwem Zintegrowanego Systemu Zarządzania Oświatą

POLITYKA PRYWATNOŚCI

Zarządzenie Nr 339/2011 Prezydenta Miasta Nowego Sącza z dnia 17 października 2011r.

Spółdzielnia Mieszkaniowa w Tomaszowie Lubelskim

Regulamin organizacji przetwarzania i ochrony danych osobowych w Powiatowym Centrum Kształcenia Zawodowego im. Komisji Edukacji Narodowej w Jaworze

Załącznik nr 7 DO UMOWY NR. O ŚWIADCZENIE USŁUG DYSTRYBUCJI PALIWA GAZOWEGO UMOWA O WZAJEMNYM POWIERZENIU PRZETWARZANIA DANYCH OSOBOWYCH

Polityka bezpieczeństwa przetwarzania danych osobowych w Ośrodku Pomocy Społecznej w Łazach

(Akty, których publikacja nie jest obowiązkowa) KOMISJA

OCHRONY DANYCH OSOBOWYCH Ewa Kulesza

I. Postanowienia ogólne

Instrukcja ochrony danych osobowych. Rozdział 1 Postanowienia ogólne

współadministrator danych osobowych, pytania i indywidualne konsultacje.

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH

INSTRUKCJA postępowania w sytuacji naruszenia ochrony danych osobowych w Urzędzie Miasta Ustroń. I. Postanowienia ogólne

Polityka prywatności strony internetowej wcrims.pl

Przetwarzanie danych osobowych przez przedsiębiorców zagrożenia i wyzwania Monika Krasińska Dyrektor Departamentu Orzecznictwa Legislacji i Skarg

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH

Jacek Karnowski IMIĘ I NAZWISKO PODPIS

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH (zwana dalej Umową )

Procedura działania Punktu Potwierdzającego Profile Zaufane epuap w Urzędzie Miejskim w Gdańsku

Zarządzenie Nr 12 /SK/2010 Wójta Gminy Dębica z dnia 06 kwietnia 2010 r.

Załącznik Nr 1 do zarządzenia Burmistrza Gminy Brwinów nr z dnia 29 marca 2011 roku

POLITYKA PRYWATNOŚCI SKLEPU INTERNETOWEGO

ROZPORZĄDZENIE MINISTRA ZDROWIA 1)

Procedura nadawania uprawnień do potwierdzania Profili Zaufanych w Urzędzie Gminy w Ryjewie

Procedura nadawania uprawnień do potwierdzania, przedłuŝania waŝności i uniewaŝniania profili zaufanych epuap. Załącznik nr 1

ZARZĄDZENIE Nr 51/2015 Burmistrza Bornego Sulinowa z dnia 21 maja 2015 r.

ZARZĄDZENIE NR 82/15 WÓJTA GMINY WOLA KRZYSZTOPORSKA. z dnia 21 lipca 2015 r.

Regulamin reklamy produktów leczniczych na terenie Samodzielnego Publicznego Zakładu Opieki Zdrowotnej Ministerstwa Spraw Wewnętrznych w Białymstoku

Regulamin udostępniania dokumentów członkom Zgierskiej Spółdzielni Mieszkaniowej

Procedura działania Punktu Potwierdzającego Profile Zaufane epuap Urzędzie Gminy w Ułężu

OGÓLNE WARUNKI UMOWY

Procedura działania Punktu Potwierdzającego Profile Zaufane epuap w Urzędzie Miejskim w Łabiszynie

o zmianie ustawy o ochronie danych osobowych oraz niektórych innych ustaw 1 )

UMOWA O PROWADZENIE PODATKOWEJ KSIĘGI PRZYCHODÓW I ROZCHODÓW

Opis regulacji dotyczących danych

KRYTERIA DOSTĘPU. Działanie 2.1,,E-usługi dla Mazowsza (typ projektu: e-administracja, e-zdrowie)

ZARZĄDZENIE nr 11/2016 Dyrektora Przedszkola Publicznego nr 13 w Radomiu z dnia 17 II 2016 r.

Procedura działania Punktu Potwierdzającego Profile Zaufane epuap w Urzędzie Gminy Wągrowiec

o zmianie ustawy o księgach wieczystych i hipotece.

wzór Załącznik nr 5 do SIWZ UMOWA Nr /

Procedura działania Punktu Potwierdzającego Profile Zaufane epuap w Urzędzie Miejskim w Barcinie

PARLAMENT EUROPEJSKI Komisja Rolnictwa i Rozwoju Wsi. dla Komisji Rynku Wewnętrznego i Ochrony Konsumentów

MINISTERSTWO INFRASTRUKTURY I ROZWOJU. UMOWA nr zawarta w Warszawie, w dniu

INFORMATOR dotyczący wprowadzania do obrotu urządzeń elektrycznych i elektronicznych aparatury, telekomunikacyjnych urządzeń końcowych i urządzeń

Faktury elektroniczne a e-podpis stan obecny, perspektywy zmian. Cezary Przygodzki, Ernst & Young

D E C Y Z J A. (dotyczy przekazania przez Towarzystwo Funduszy Inwestycyjnych danych osobowych Skarżącego Bankowi, w celach marketingowych)

UMOWA NR w sprawie: przyznania środków Krajowego Funduszu Szkoleniowego (KFS)

AKADEMII POMORSKIEJ W SŁUPSKU

Projekt U S T A W A. z dnia

Załącznik nr 12 Umowa powierzenia przetwarzania danych osobowych do Umowy na Serwis i Utrzymanie Urządzeń

Warszawa, dnia 14 czerwca 2016 r. Poz. 845 ROZPORZĄDZENIE MINISTRA ZDROWIA 1) z dnia 31 maja 2016 r.

PROCEDURA OCENY RYZYKA ZAWODOWEGO. w Urzędzie Gminy Mściwojów

Zarządzenie Nr 86 Starosty Krośnieńskiego z dnia 29 grudnia 2007 r. w sprawie obiegu korespondencji w Starostwie Powiatowym w Krośnie

ZARZĄDZENIE NR 21/2006 Nadleśniczego Nadleśnictwa Szczebra z dnia 30 czerwca 2006 r.

ZARZĄDZENIE NR 21/2015 WÓJTA GMINY IWANOWICE Z DNIA 12 PAŹDZIERNIKA 2015 ROKU w sprawie ustalenia wytycznych kontroli zarządczej.

Procedura weryfikacji badania czasu przebiegu 1 paczek pocztowych

R O Z P O R ZĄDZENIE M I N I S T R A N A U K I I S Z K O L N I C T WA W YŻSZEGO 1) z dnia r.

WYTYCZNE BEZPIECZEŃSTWA INFORMACJI DLA KONTRAHENTÓW I JEDNOSTEK ZEWNĘTRZNYCH

Rozdział 1 - Słownik terminów.

BEZPIECZEŃSTWO INFORMACYJNE I CYBERNETYCZNE

1) w 1 pkt 4 otrzymuje brzmienie:

Zatwierdził: Wiesława Ksprzewska Charkin Dyrektor PORD w Gdańsku

Regulamin gromadzenia i przetwarzania danych osobowych System Informacji Oświatowej w Szkole Podstawowej nr 8 im. Jana Brzechwy w Bełchatowie

Ministerstwo Pracy i Polityki Społecznej Warszawa, listopad 2011 r.

Załącznik nr 1 do zarządzenia nr 1/2013 z dnia w sprawie wprowadzenia regulaminu dotyczącego monitoringu w szkole

1. Jakie czynności powinien wykonać podatnik. 2. Opłaty skarbowe. 3. Sposób załatwienia sprawy w urzędzie. 4. Przysługujące prawa

Zapytanie ofertowe. Projekt realizowany przy współfinansowaniu ze środków Unii Europejskiej, w ramach Programu Operacyjnego Pomoc Techniczna

ZARZĄDZENIE NR 5/2013 WÓJTA GMINY LIPUSZ z dnia r.

WYSTĄPIENIE POKONTROLNE

Procedura działania Punktu Potwierdzającego. Profile Zaufane epuap. w Urzędzie Miejskim w Miłakowie

USTAWA. z dnia 22 stycznia 2004 r.

Warszawa, dnia 2 stycznia 2014 r. Poz. 2 OBWIESZCZENIE MINISTRA FINANSÓW. z dnia 24 września 2013 r.

U M O W A Nr MOK/WID/ /2014/...

ZARZĄDZENIE NR 155/2014 BURMISTRZA WYSZKOWA z dnia 8 lipca 2014 r.

Regulamin serwisu internetowego ramowka.fm

KOMISJA EUROPEJSKA DYREKCJA GENERALNA DS. PRZEDSIĘBIORSTW I PRZEMYSŁU. Wytyczne 1

KRYTERIA WYBORU INSTYTUCJI SZKOLENIOWYCH DO PRZEPROWADZENIA SZKOLEŃ

I. POSTANOWIENIE OGÓLNE

ROZPORZĄDZENIE KOMISJI (UE) NR

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATCZNYM SŁUśĄCYM DO PRZETWARZANIA DANYCH

Regulamin Sprzedawcy Wszystko.pl I. DEFINICJE

MINISTERSTWO ŚRODOWISKA

Projekt "Integracja i aktywność" współfinansowany ze środków Unii Europejskiej w ramach Europejskiego Funduszu Społecznego

POSTANOWIENIA OGÓLNE

PROCEDURA NR 1 PRZYPROWADZANIA I ODBIERANIA DZIECKA Z PRZEDSZKOLA HELIANTUS

1. DYNAMICSAX nie pobiera żadnych opłat za korzystanie z serwisu internetowego DYNAMICSAX.PL.

DECYZJA Nr 44/MON MINISTRA OBRONY NARODOWEJ

Instrukcja Obsługi STRONA PODMIOTOWA BIP

Transkrypt:

1 PRZETWARZANIE DANYCH OSOBOWYCH proinfosec Jarosław Żabówka proinfosec@odoradca.pl Wymogi rozporządzenia

2 ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych

Zawartość prezentacji 3 W czasie trwania prezentacji omówimy wybrane zagadnienia regulowane rozporządzeniem. Omawiając zabezpieczenia, ograniczymy się do zabezpieczeń wymaganych na poziomie wysokim.

4 Zawartość prezentacji W kilku miejscach prezentacji korzystać będziemy z maindmap-y przedstawiającej regulowane rozporządzeniem zagadnienia

Podstawa rozporządzenia 5 Art. 39a. Minister właściwy do spraw administracji publicznej w porozumieniu z ministrem właściwym do spraw informatyzacji określi, w drodze rozporządzenia, sposób prowadzenia i zakres dokumentacji, o której mowa w art. 36 ust. 2, oraz podstawowe warunki techniczne i organizacyjne, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych, uwzględniając zapewnienie ochrony przetwarzanych danych osobowych odpowiedniej do zagrożeń oraz kategorii danych objętych ochroną, a także wymagania w zakresie odnotowywania udostępniania danych osobowych i bezpieczeństwa przetwarzanych danych.

Zakres regulacji rozporządzenia 6 Sposób prowadzenia i zakres dokumentacji Podstawowe warunki techniczne i organizacyjne, jakim powinny odpowiadać urządzenia i systemy Wymagania w zakresie odnotowywania udostępniania i bezpieczeństwa przetwarzania danych osobowych

Polityka bezpieczeństwa 7

Obszary przetwarzania 8

Instrukcja zarządzania 9

Wymagania dotyczące funkcjonalności 10 Art. 32. 1. Każdej osobie przysługuje prawo do kontroli przetwarzania danych, które jej dotyczą, zawartych w zbiorach danych, a zwłaszcza prawo do: 3) uzyskania informacji, od kiedy przetwarza się w zbiorze dane jej dotyczące, oraz podania w powszechnie zrozumiałej formie treści tych danych, 4) uzyskania informacji o źródle, z którego pochodzą dane jej dotyczące, chyba że administrator danych jest zobowiązany do zachowania w tym zakresie w tajemnicy informacji niejawnych lub zachowania tajemnicy zawodowej, 5) uzyskania informacji o sposobie udostępniania danych, a w szczególności informacji o odbiorcach lub kategoriach odbiorców, którym dane te są udostępniane, 5a) uzyskania informacji o przesłankach podjęcia rozstrzygnięcia, o którym mowa w art. 26a ust. 2, Art. 38. Administrator danych jest obowiązany zapewnić kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane.

Wymagania dotyczące funkcjonalności 11 7. 1. Dla każdej osoby, której dane osobowe są przetwarzane w systemie informatycznym - z wyjątkiem systemów służących do przetwarzania danych osobowych ograniczonych wyłącznie do edycji tekstu w celu udostępnienia go na piśmie - system ten zapewnia odnotowanie: 1) daty pierwszego wprowadzenia danych do systemu; 2) identyfikatora użytkownika wprowadzającego dane osobowe do systemu, chyba że dostęp do systemu informatycznego i przetwarzanych w nim danych posiada wyłącznie jedna osoba; 3) źródła danych, w przypadku zbierania danych, nie od osoby, której one dotyczą; 4) informacji o odbiorcach, w rozumieniu art. 7 pkt 6 ustawy, którym dane osobowe zostały udostępnione, dacie i zakresie tego udostępnienia, chyba że system informatyczny używany jest do przetwarzania danych zawartych w zbiorach jawnych; 5) sprzeciwu, o którym mowa w art. 32 ust. 1 pkt 8 ustawy. 2. Odnotowanie informacji, o których mowa w ust. 1 pkt 1 i 2, następuje automatycznie po zatwierdzeniu przez użytkownika operacji wprowadzenia danych. 3. Dla każdej osoby, której dane osobowe są przetwarzane w systemie informatycznym, system zapewnia sporządzenie i wydrukowanie raportu zawierającego w powszechnie zrozumiałej formie informacje, o których mowa w ust. 1.

Wymagania dotyczące funkcjonalności 12

Jak się bronić? 13 Żądajmy wymaganych funkcjonalności od dostawcy oprogramowania - ale przecież nawet Urzędy Skarbowe miały wpadkę i korzystały z oprogramowania nie spełniającego wymogów! Zauważmy, że automatycznie odnotowane muszą być spełnione jedynie wymagania określone w 2 pierwszych punktach. Informacje o udostępnieniu mogą być przechowywane w osobnym systemie. Zapewnijmy, że dostęp do danych posiada tylko jedna osoba... Jeżeli mamy taką możliwość, korzystajmy z systemów jedynie dla sporządzania wydruków...

Co robić gdy arkusz kalkulacyjny jest dla nas wystarczający? 14

Zabezpieczenie danych 15 Art. 36. 1. Administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. 2. Administrator danych prowadzi dokumentację opisującą sposób przetwarzania danych oraz środki, o których mowa w ust. 1.

Rozporządzenie jako analiza ryzyka 16 Rozporządzenie wskazuje jakie zabezpieczenia należy stosować. Można uznać, że w rozporządzeniu została przyjęta bardzo uproszczona analiza ryzyka, opierająca się jedynie na kryteriach: dostępu do sieci publicznej przetwarzaniu danych wrażliwych.

Poziomy bezpieczeństwa 17 W systemie, brak jest danych wrażliwych. System nie jest połączony z publiczną siecią telekomunikacyjną Poziom podstawowy W systemie, przetwarzane są dane wrażliwe. System nie jest połączony z publiczną siecią telekomunikacyjną. Poziom podwyższony System jest połączony z publiczną siecią telekomunikacyjną Poziom wysoki

Zabezpieczenia 18

Zabezpieczenia 19

Problemy 20 Nieżyciowe wymagania w stosunku do aplikacji. Obszary przetwarzania nie uwzględniają sprzętu mobilnego, pracy zdalnej i pracy w terenie (spis powszechny!) Brak rozróżnienia użytkownika, od osoby która uzyskuje dostęp jedynie do swoich danych. Brak przepisu nakazującego stosowanie środków kryptograficznych przy przesyłaniu danych przez sieć publiczną.

Konieczna nowelizacja. Ale jaka? 21 Nowe rozporządzenia? Danie GIODO prawa publikowania obowiązujących rekomendacji? Oparcie się o normy i/lub analizę ryzyka? A może jakieś inne rozwiązanie?

22

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres