PRZETWARZANIE DANYCH OSOBOWYCH KLIENTÓW PRZEZ SERWISY SPRZĘTU AGD Agnieszka Wiercińska-Krużewska 15 września 2016 r.

Podobne dokumenty
NOWE PRZEPISY DOTYCZĄCE BEZPIECZEŃSTWA DANYCH OSOBOWYCH. Agnieszka Wiercińska-Krużewska, adwokat, senior partner 21 września 2017 r.

Przetwarzanie danych w chmurze Cloud Computing

DANE OSOBOWE W DZIAŁALNOŚCI SERWISÓW AGD. Łódź, 21 września 2018 roku

PolGuard Consulting Sp.z o.o. 1

Ustawa o ochronie danych osobowych po zmianach

Katarzyna Sadło. Ochrona danych osobowych w organizacjach pozarządowych. Kraków, 13 grudnia (stan obecny)

Jak współpracować z agencją e mail marketingową w zakresie powierzenia przetwarzania danych. Michał Sztąberek isecure Sp. z o.o.

Jak zorganizować szkolną infrastrukturę informatyczną (sieć informatyczną) Tadeusz Nowik

Zmiany w ustawie o ochronie danych osobowych

POLITYKA BEZPIECZEŃSTWA w Gimnazjum nr 1 w Żarach. Podstawa prawna

ADMINISTRACJI z dnia 1 września 2017 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych

POLITYKA BEZPIECZEŃSTWA

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH w przedsiębiorstwie QBL Wojciech Śliwka Daszyńskiego 70c, Ustroń

Przetwarzanie danych osobowych w przedsiębiorstwie

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM PRZETWARZAJĄCYM DANE OSOBOWE W FIRMIE

Umowa nr ADO/.../... powierzenia przetwarzania danych osobowych

Jakie są podstawowe obowiązki wynikające z ustawy o ochronie danych osobowych?

POLITYKA BEZPIECZEŃSTWA INFORMACJI. Heksagon sp. z o.o. z siedzibą w Katowicach. (nazwa Administratora Danych)

Rodzaje danych (informacji) m.in.: Podmioty przetwarzające dane: podmioty publiczne, podmioty prywatne.

REGULAMIN OCHRONY DANYCH OSOBOWYCH w Szkole Muzycznej I stopnia w Dobczycach

Umowa powierzenia przetwarzania danych osobowych. nr.. zawarta w dniu...

Polityka bezpieczeństwa danych osobowych

POLITYKA BEZPIECZEŃSTWA

KURS ABI. Dzień 1 Podstawy pełnienia funkcji ABI SZCZEGÓŁOWY HARMONOGRAM SZKOLENIA MODUŁ I

Polityka bezpieczeństwa przeznaczona dla administratora danych, który nie powołał administratora bezpieczeństwa informacji

Dane osobowe w stacji demontażu. Marcin Witaszek Polski Związek Przemysłu Motoryzacyjnego

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH W SZKOLE PODSTAWOWEJ W CHRUŚLINIE

POLITYKA BEZPIECZEŃSTWA

Dane osobowe w data center

Szkolenie. Ochrona danych osobowych

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM PRZETWARZAJĄCYM DANE OSOBOWE W FIRMIE

POLITYKA BEZPIECZEŃSTWA SYSTEMÓW INFORMATYCZNYCH SŁUŻĄCYCH DO PRZETWARZNIA DANYCH OSOBOWYCH W URZĘDZIE GMINY DĄBRÓWKA

PROGRAM NAUCZANIA KURS ABI

Bezpieczeństwo danych osobowych listopada 2011 r.

Umowa nr... powierzenia przetwarzania danych osobowych.... zwanym dalej Administratorem danych,... zwanym dalej Przetwarzającym,

UMOWA O POWIERZENIE PRZETWARZANIA DANYCH

INSTRUKCJA ZARZĄDZANIA SYSTEMAMI INFORMATYCZNYMI W COLLEGIUM MAZOVIA INNOWACYJNEJ SZKOLE WYŻSZEJ

OCHRONA DANYCH OSOBOWYCH

Polityka Prywatności w Muzeum Wojsk Lądowych w Bydgoszczy

Bezpieczeństwo informacji. Opracował: Mariusz Hoffman

Polityka bezpieczeństwa danych osobowych przetwarzanych w ramach Programu BIOsfera BIODERMA

UMOWA powierzenia przetwarzania danych osobowych, zwana dalej Umową

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH, ZWANA DALEJ UMOWĄ (ZAŁĄCZNIK NR 3 DO UMOWY ZP ) . NIP:..., reprezentowanym przez:

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH

Polityka bezpieczeństwa danych osobowych przetwarzanych w ramach Programu BIOsfera BIODERMA

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH WRAZ Z INSTRUKCJA ZARZĄDZANIA ZINTEGROWANĄ PLATFORMĄ ELF24

POLITYKA BEZPIECZEŃSTWA INFORMACJI w KANCELARII ADWOKACKIEJ AGNIESZKA PODGÓRSKA-ZAETS. Ul. Sienna 57A lok Warszawa

5. Kupujący ma w każdej chwili możliwość wglądu, poprawiania, aktualizacji oraz usuwania danych osobowych przechowywanych przez Sprzedawcę.

Załącznik nr 8 do SIWZ

POLITYKA BEZPIECZEŃSTWA INFORMACJI w MYFUTURE HOUSE SP. Z O.O.

Umowa nr..- /16. o powierzeniu przetwarzania danych osobowych zawarta w dniu r. w Poznaniu pomiędzy:... z siedzibą przy...

darmowy fragment Ochrona Danych Osobowych. Poradnik dla przedsiębiorców Wydanie II, Rybnik 2011 Wszelkie prawa zastrzeżone!

Polityka Bezpieczeństwa i Ochrony Danych Osobowych przetwarzanych przez Instytut Filozofii i Socjologii Polskiej Akademii Nauk. z siedzibą w Warszawie

ZASADY PRZETWARZANIA I OCHRONY DANYCH OSOBOWYCH NA UCZELNIACH WYŻSZYCH

Obowiązki lekarza, lekarza dentysty wykonującego działalność leczniczą w ramach praktyki zawodowej związane z ochroną danych osobowych

Umowa nr ADO/.../2016 powierzenia przetwarzania danych osobowych

CO ZROBIĆ ŻEBY RODO NIE BYŁO KOLEJNYM KOSZMAREM DYREKTORA SZKOŁY? mgr inż. Wojciech Hoszek

Polityka Bezpieczeństwa Danych Osobowych. w sklepie internetowym kozakominek.pl prowadzonym przez firmę Worldflame Sp. z o. o.

Umowa nr..- /15. o powierzeniu przetwarzania danych osobowych zawarta w dniu r. w Poznaniu pomiędzy:

Certyfikowany kurs dla Administratorów Bezpieczeństwa Informacji (ABI) Szczegółowe zagadnienia

Polityka Bezpieczeństwa w zakresie przetwarzania danych osobowych

POLITYKA BEZPIECZEŃSTWA KRAJOWEGO REJESTRU KLIENTÓW HOTELOWYCH sp. z o.o.. Art. 1 Postanowienia ogólne

POLITYKA BEZPIECZEŃSTWA INFORMACJI

2. Dane osobowe - wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej;

Polityka Bezpieczeństwa w zakresie danych osobowych Stowarzyszenia Lokalna Grupa Działania,,Gryflandia

POLITYKA BEZPIECZEŃSTWA INFORMACJI CENTRUM FOCUS ON GRZEGORZ ŻABIŃSKI. Kraków, 25 maja 2018 roku

AKREDYTOWANY KURS ABI. KOMPLEKSOWE PRZYGOTOWANIE DO PEŁNIENIA FUNKCJI ADMINISTRATORA BEZPIECZEŃSTWA INFORMACJI (ABI)

POLITYKA BEZPIECZEŃSTWA INFORMACJI W KANCELARII ADWOKACKIEJ DR MONIKA HACZKOWSKA

POLITYKA BEZPIECZEŃSTWA INFORMACJI W ZAKRESIE OCHRONY DANYCH OSOBOWYCH

BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH

Załącznik nr 4 POLITYKA OCHRONY PRYWATNOŚCI. Artykuł 1. Zasada ochrony prywatności

Polityka prywatności i bezpieczeństwa przetwarzania danych osobowych w zbiorze czas-na-przeglad.pl

Umowa na przetwarzanie danych

Przetwarzanie danych osobowych w chmurze

Art. 36a - Ustawa o ochronie danych osobowych (Dz. U r. poz. 922 z późn. zm.)

2) stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem,

REJESTR ZBIORÓW. Administrator Danych Jan Drajewicz. Dnia r. w podmiocie o nazwie Zespół Szkół nr 2 w Dukli. z dnia 11 maja 2015 r.

NIP:, Regon: wpisaną do Krajowego Rejestru Sądowego nr..., reprezentowaną przez:

ADMISTRATOR BEZPIECZEŃSTWA INFORMACJI

PARTNER.

ADMINISTRATOR BEZPIECZEŃSTWA INFORMACJI. zadania: przepisami; Nowe kompetencje GIODO: Administratora danych; Przekazywanie danych do państw trzecich:

Załącznik do zarządzenia nr 29/2005/2006 Obowiązuje od r. POLITYKA BEZPIECZEŃSTWA

Ochrona danych osobowych w administracji publicznej

Podstawowe obowiązki administratora danych osobowych

POLITYKA OCHRONY DANYCH OSOBOWYCH

Umowa powierzenia przetwarzania danych osobowych (wzór umowy) zawarta dnia pomiędzy: (zwana dalej Umową )

UMOWA O UDOSTĘPNIANIE DANYCH OSOBOWYCH. reprezentowanym przez Dyrektora [ ], zwanym dalej jako Przedszkole Nr ; a

Regulamin Ochrony Danych Osobowych w Stowarzyszeniu Ogrodowym KMITA w Zabierzowie

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH

Umowa nr TXU/TXXI/INNE/ /2018 powierzenia przetwarzania danych osobowych

Załącznik 4. Umowa o zachowaniu poufności przetwarzania danych osobowych, zwana dalej Umową

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia 29 kwietnia 2004 r.

Polityka bezpieczeństwa przeznaczona dla administratora danych, który powołał administratora bezpieczeństwa informacji

wraz z wzorami wymaganej prawem dokumentacją

Informacje dla Klientów opracowane na podstawie Polityki Ochrony Danych Osobowych w Miejskim Zakładzie Gospodarki Komunalnej Sp. z o.o.

POWIERZENIE PRZETWARZANIA DANYCH OSOBOWYCH W RAMACH UMOWY nr.z dnia

SKUTECZNE SZKOLENIA PERSONELU JAKO NOWY OBOWIĄZEK ADMINISTRATORA BEZPIECZEŃSTWA INFORMACJI

ABI EXPERT+ Ochrona danych osobowych. Warsztat specjalistyczny. Zadania Administratora danych osobowych. Skuteczne narzędzie ADO

POLITYKA BEZPIECZEŃSTWA

Radom, 13 kwietnia 2018r.

Transkrypt:

PRZETWARZANIE DANYCH OSOBOWYCH KLIENTÓW PRZEZ SERWISY SPRZĘTU AGD Agnieszka Wiercińska-Krużewska 15 września 2016 r.

Przepisy prawa i przydatne informacje ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych Unijne rozporządzenie o ochronie danych osobowych nr 2016/679 (będzie stosowane od 25 maja 2018 r.) Strona edugiodo: https://edugiodo.giodo.gov.pl/ Strona GIODO odpowiedzi na pytania: http://www.giodo.gov.pl/266/

Definicja danych osobowych Dane osobowe to wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej Osoba możliwa do zidentyfikowania to osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności poprzez powołanie się na specyficzne czynniki określające jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne Informacje o osobach fizycznych przedsiębiorcach oraz spółkach cywilnych są danymi osobowymi, przy czym do danych ujawnionych w CEiDG stosuje się tylko wybrane części ustawy o ochronie danych osobowych (dotyczące zabezpieczania danych)

Przykłady danych osobowych Imię i nazwisko Numer IP Adres pocztowy Numer telefonu Adres email

Inne definicje dotyczące danych osobowych Zbiór danych osobowych Każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów Przetwarzanie danych Jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie Administrator danych Podmiot decydujący o celach i środkach przetwarzania danych Podmiot przetwarzający Podmiot, który przetwarza dane osobowe na zlecenie administratora, na podstawie pisemnej umowy, wyłącznie w celach wskazanych w tej umowie Administrator bezpieczeństwa informacji (ABI) Osoba wyznaczona w danej organizacji do zapewniania przestrzegania przepisów o ochronie danych

Główne zasady przetwarzania danych osobowych zasada ochrony interesów osoby, której dane dotyczą zasada adekwatności danych (dane muszą być aktualne, prawdziwe i przydatne z punktu widzenia celu ich przetwarzania) stosowanie czterech elementarnych filarów przetwarzania danych

Filary zgodnego z prawem przetwarzania danych osobowych A. Podstawy prawne przetwarzania danych (np. za zgodą, w celu zawarcia i wykonania umowy, na podstawie przepisów prawa) B. Obowiązki informacyjne (należy poinformować osoby, których dane są przetwarzane o przetwarzaniu ich danych osobowych) A B C D C. Zabezpieczenie danych osobowych D. Zgłoszenie zbioru danych osobowych do rejestracji (z wyjątkami)

Dane osobowe klientów w serwisach sprzętu AGD Dane otrzymywane bezpośrednio od klientów Dane przechowywane w sprzęcie AGD oddawanym do naprawy Dane otrzymywane od producentów sprzętu AGD Dane osobowe klientów w posiadaniu serwisów sprzętu AGD

Dane osobowe klientów w serwisach sprzętu AGD Zbieranie danych osobowych Powierzenie przetwarzania danych osobowych Klient serwisu Producent/dystrybutor sprzętu (administrator danych klientów) Przekazanie danych w związku z naprawą sprzętu (np. w karcie naprawy sprzętu) Pisemna umowa powierzenia przetwarzania danych Serwis jest administratorem danych osobowych klienta Serwis jest podmiotem przetwarzającym dane osobowe na zlecenie producenta (administratora) w związku z wykonywaniem naprawy sprzętu

Dane otrzymywane bezpośrednio od klientów

Dane otrzymywane bezpośrednio od klientów Serwis jest administratorem danych osobowych klientów Serwis ponosi odpowiedzialność za odpowiednie przetwarzanie danych osobowych Przetwarzanie danych zgodnie z celem ich zebrania Serwis powinien poinformować klientów (np. w dokumencie przyjęcia sprzętu do naprawy) że jest administratorem ich danych osobowych o swoim adresie o celu przetwarzania danych o prawach klienta związanych z przetwarzaniem danych Odpowiednie zabezpieczanie danych osobowych Jeżeli dane osobowe klienta są zbierane do celów wykonania naprawy, to nie ma konieczności uzyskiwania zgody klienta na przetwarzanie danych osobowych

Dane zawarte w sprzęcie oddawanym do naprawy W niektórych nowoczesnych (inteligentnych) urządzeniach AGD przechowywane są dane osobowe ich użytkowników Dane te nie powinny być odczytywane lub kopiowane przez serwisy AGD, chyba że jest to niezbędne do wykonanie naprawy Dane nie mogą być wykorzystywane w innych celach niż wykonanie naprawy Jeżeli zachodzi potrzeba usunięcia danych z urządzenia, to w miarę możliwości należy o tym poinformować klienta

Dane otrzymywane od producentów sprzętu AGD Serwisy otrzymują dane osobowe klientów od producentów sprzętu AGD najczęściej na podstawie umowy powierzenia przetwarzania danych osobowych Umowa powierzenia przetwarzania danych powinna być zawarta na piśmie Administratorem danych osobowych jest producent Serwisy nie mogą przetwarzać danych osobowych w innych celach niż to wynika z umowy (np. we własnych celach marketingowych) Dane muszą być zwrócone lub usunięte na żądanie producenta (administratora danych)

Zgłoszenie zbioru danych do GIODO zbiory danych zgłaszają administratorzy danych wyjątki od obowiązku zgłoszenia zbiorów gdy dane są przetwarzane tylko w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej jeżeli dane są przetwarzane także w innych celach, np. marketingowych - trzeba zgłosić zbiór danych zbiory danych pracowników i osób świadczących usługi (np. na umowie zlecenia) gdy powołany został administratora bezpieczeństwa informacji (ABI) - tj. osoba odpowiedzialna za zapewnianie przestrzegania przepisów o ochronie danych w organizacji wniosek zgłoszenia zbioru danych jest dostępny na stronie GIODO: https://egiodo.giodo.gov.pl/personal_data_register.dhtml można go wypełnić przez Internet, a następnie wydrukować, podpisać i wysłać pocztą do GIODO

Zabezpieczanie danych osobowych Polityka bezpieczeństwa Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych Upoważnienia do przetwarzania danych osobowych Ewidencja osób upoważnionych do przetwarzania danych Dokumenty i procedury są obowiązkowe dla wszystkich podmiotów, które przetwarzają dane osobowe Dokumenty i procedury potrzebne także w odniesieniu do zbiorów danych pracowników i innych zbiorów danych

Polityka bezpieczeństwa Elementy polityki bezpieczeństwa wykaz budynków i pomieszczeń, w których przetwarzane są dane osobowe wykaz zbiorów danych osobowych wraz ze wskazaniem programów stosowanych do przetwarzania tych danych opis struktury zbiorów danych sposób przepływu danych pomiędzy poszczególnymi systemami środki techniczne i organizacyjne niezbędne dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych Wskazówki praktyczne dotyczące przygotowania polityki bezpieczeństwa na stronie GIODO: https://edugiodo.giodo.gov.pl/mod/resource/view.php?id=39

Instrukcja zarządzania systemem informatycznym Wybrane elementy instrukcji procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym stosowane metody i środki uwierzytelnienia procedury tworzenia kopii zapasowych zbiorów danych sposób, miejsce i okres przechowywania elektronicznych nośników informacji zawierających dane osobowe oraz kopii zapasowych sposób zabezpieczenia systemu informatycznego przed działalnością szkodliwego oprogramowania procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji Wskazówki praktyczne dotyczące przygotowania instrukcji na stronie GIODO: https://edugiodo.giodo.gov.pl/mod/resource/view.php?id=39

Kontrola GIODO GIODO nie nakłada kar finansowych za niezgodne z prawem przetwarzania danych GIODO wydaje decyzje, w których nakazuje przywrócenie stanu zgodnego z prawem np: zastosowanie dodatkowych środków zabezpieczających, usunięcie danych, zawarcie umowy powierzenia przetwarzania danych na piśmie Tylko w przypadku, gdy decyzja GIODO nie zostanie wykonana, GIODO może nałożyć grzywnę w celu przymuszenia przedsiębiorcy do wykonania decyzji W przypadku osób fizycznych wysokość grzywny wynosi do 10 tys. zł, a osób prawnych do 50 tys. zł

Unijne rozporządzenie o ochronie danych osobowych nr 2016/679 Rozporządzenie będzie stosowane od 25 maja 2018 r. Zastąpi polską ustawę o ochronie danych osobowych Nie będzie tak szczegółowych przepisów o zabezpieczaniu danych ani obowiązku zgłaszania zbiorów danych do rejestracji Będą surowe kary za nieprzestrzeganie przepisów o ochronie danych osobowych, np. za przetwarzanie danych bez podstawy prawnej, za brak informowania osób, których dane się przetwarza, o przetwarzaniu ich danych Kary będą nakładane w wysokości nawet do 20 mln euro albo do 4% rocznego światowego obrotu z poprzedniego roku Wysokość kar będzie się różnić w zależności od np. wagi i czasu trwania naruszenia, umyślności naruszenia, poprzednich naruszeń prawa ochrony danych

DANE KONTAKTOWE Agnieszka Wiercińska-Krużewska adwokat, starszy partner Tel. +48 22 201 00 00 Email: agnieszka.wiercinska@wkb.com.pl WKB Wierciński, Kwieciński, Baehr Sp.k. Warszawa ul. Polna 11 00-633 Warszawa Tel. +48 22 201 00 00 Poznań ul. Paderewskiego 7 61-770 Poznań Tel. +48 61 855 32 20 biuro@wkb.com.pl www.wkb.com.pl