Powierzenie przetwarzania danych osobowych teoria vs. praktyka

Podobne dokumenty
REGULAMIN OCHRONY DANYCH OSOBOWYCH w Szkole Muzycznej I stopnia w Dobczycach

ADMINISTRACJI z dnia 1 września 2017 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych

Regulamin w zakresie przetwarzania danych osobowych w Urzędzie Miejskim w Kocku

POLITYKA BEZPIECZEŃSTWA

3. Za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH W SZKOLE PODSTAWOWEJ W CHRUŚLINIE

POLITYKA BEZPIECZEŃSTWA SYSTEMÓW INFORMATYCZNYCH SŁUŻĄCYCH DO PRZETWARZNIA DANYCH OSOBOWYCH W URZĘDZIE GMINY DĄBRÓWKA

POLITYKA BEZPIECZEŃSTWA

Regulamin w zakresie przetwarzania danych osobowych w Zespole Szkół Usługowo Gospodarczych w Pleszewie

Jak współpracować z agencją e mail marketingową w zakresie powierzenia przetwarzania danych. Michał Sztąberek isecure Sp. z o.o.

PROCEDURA PRZECHOWYWANIA I PRZETWARZANIA DANYCH OSOBOWYCH W OŚRODKU MEDIACJI INIGO

Umowa nr ADO/.../... powierzenia przetwarzania danych osobowych

POLITYKA BEZPIECZEŃSTWA

Przetwarzanie danych w chmurze Cloud Computing

Regulamin w zakresie przetwarzania danych osobowych w Gimnazjum nr 2 im. Aleksandra Kamińskiego w Żarach

Polityka bezpieczeństwa przetwarzania danych osobowych w Zespole Szkół w Kaszczorze.

Polityka Bezpieczeństwa w zakresie danych osobowych Stowarzyszenia Lokalna Grupa Działania,,Gryflandia

Umowa nr... powierzenia przetwarzania danych osobowych.... zwanym dalej Administratorem danych,... zwanym dalej Przetwarzającym,

Dane osobowe w data center

Załącznik 4. Umowa o zachowaniu poufności przetwarzania danych osobowych, zwana dalej Umową

Ochrona danych osobowych przy obrocie wierzytelnościami

Umowa powierzenia przetwarzania danych osobowych. nr.. zawarta w dniu...

POLITYKA BEZPIECZEŃSTWA w Gimnazjum nr 1 w Żarach. Podstawa prawna

REJESTR ZBIORÓW. Administrator Danych Jan Drajewicz. Dnia r. w podmiocie o nazwie Zespół Szkół nr 2 w Dukli. z dnia 11 maja 2015 r.

Regulamin w zakresie przetwarzania danych osobowych w Zespole Szkół w Kaszczorze.

Ustawa o ochronie danych osobowych po zmianach

Zarządzenie nr 25 Burmistrza Kolonowskiego Z roku

POLITYKA BEZPIECZEŃSTWA

ZARZĄDZENIE NR 22. z dnia 2 lipca 2008 r.

Polityka bezpieczeństwa przeznaczona dla administratora danych, który nie powołał administratora bezpieczeństwa informacji

Katarzyna Sadło. Ochrona danych osobowych w organizacjach pozarządowych. Kraków, 13 grudnia (stan obecny)

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOSBOWYCH Zwana dalej ( Umową ) Zawarta w dniu.2019r. pomiędzy:

Szkolenie. Ochrona danych osobowych

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM PRZETWARZAJĄCYM DANE OSOBOWE W FIRMIE

Zespół Kształcenia i Wychowania w Kamienicy Szlacheckiej REJESTR ZBIORÓW. Administrator Danych Bernadeta kucyk - dyrektor

POLITYKA OCHRONY PRYWATNOŚCI

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM PRZETWARZAJĄCYM DANE OSOBOWE W FIRMIE

BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH

Polityka ochrony prywatności

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH. zawarta w.,... pomiędzy:

PolGuard Consulting Sp.z o.o. 1

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH w przedsiębiorstwie QBL Wojciech Śliwka Daszyńskiego 70c, Ustroń

Zmiany w ustawie o ochronie danych osobowych

REJESTR ZBIORÓW. z dnia 11 maja 2015 r. w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru

ZASADY POWIERZANIA DANYCH OSOBOWYCH FIRMY ELEKTROMONTAŻ RZESZÓW S.A. z dnia 25 maja 2018r.

Polityka ochrony prywatności Firmy ADAMS Sp. z o.o. Ostatnia data aktualizacji: 27 lutego 2018 r.

Załącznik 5. UMOWA powierzenia przetwarzania danych osobowych, zwana dalej Umową. zawarta w... w dniu... r. pomiędzy:

Umowa nr TXU/TXXI/INNE/ /2018 powierzenia przetwarzania danych osobowych

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH

Zarządzenie nr 14 Rektora Uniwersytetu Jagiellońskiego z 10 lutego 2006 roku

Przetwarzanie danych osobowych w chmurze

Umowa nr ADO/.../2016 powierzenia przetwarzania danych osobowych

Polityka Ochrony Danych Osobowych w Dietetica- Ewa Stachowska

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH, ZWANA DALEJ UMOWĄ (ZAŁĄCZNIK NR 3 DO UMOWY ZP ) . NIP:..., reprezentowanym przez:

Jak zorganizować szkolną infrastrukturę informatyczną (sieć informatyczną) Tadeusz Nowik

UMOWA O POWIERZENIE PRZETWARZANIA DANYCH

NIP:, Regon: wpisaną do Krajowego Rejestru Sądowego nr..., reprezentowaną przez:

Jakie są podstawowe obowiązki wynikające z ustawy o ochronie danych osobowych?

UMOWA powierzenia przetwarzania danych osobowych, zwana dalej Umową

UMOWA O POWIERZENIU PRZETWARZANIA DANYCH OSOBOWYCH. zawarta w dniu. w Warszawie pomiędzy:

Informacje dla Klientów opracowane na podstawie Polityki Ochrony Danych Osobowych w Miejskim Zakładzie Gospodarki Komunalnej Sp. z o.o.

OCHRONA DANYCH OSOBOWYCH

PRZETWARZANIE DANYCH OSOBOWYCH KLIENTÓW PRZEZ SERWISY SPRZĘTU AGD Agnieszka Wiercińska-Krużewska 15 września 2016 r.

Bezpieczeństwo teleinformatyczne danych osobowych

Umowa nr. Wzór umowy o ochronie danych osobowych do umowy nr... z dnia...

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH. Miejskim Szpitalem Zespolonym w Olsztynie, Olsztyn, ul. Niepodległości 44

Regulamin w zakresie przetwarzania danych osobowych i bezpieczeństwa informacji w Gimnazjum nr 3 im. Polskich Noblistów w Oławie

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH (Umowa)

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH

Warszawa, dnia 24 kwietnia 2015 r. Pozycja 14 ZARZĄDZENIE NR 14 MINISTRA SKARBU PAŃSTWA 1) z dnia 23 kwietnia 2015 r.

Polityka Bezpieczeństwa i Ochrony Danych Osobowych przetwarzanych przez Instytut Filozofii i Socjologii Polskiej Akademii Nauk. z siedzibą w Warszawie

Bezpieczeństwo danych osobowych listopada 2011 r.

Umowa wzajemnego powierzenia przetwarzania danych przy realizacji zlecenia transportowego

Ustawa o ochronie danych osobowych. opracowanie: redakcja ZapytajPrawnika.pl. projekt okładki: Zbigniew Szeliga

5. Kupujący ma w każdej chwili możliwość wglądu, poprawiania, aktualizacji oraz usuwania danych osobowych przechowywanych przez Sprzedawcę.

Regulamin powierzania przetwarzania danych osobowych w JAS-FBG S.A. z dnia 24 maja 2018 r.

REGULAMIN ZASAD WSPÓŁPRACY PARTNERSKIEJ ZE SPÓŁKAMI Z GRUPY SALESBEE

UMOWA O POWIERZENIU PRZETWARZANIA DANYCH

- WZÓR- Umowa powierzenia przetwarzania danych osobowych nr./2018

Europejski Fundusz Rolny na rzecz Rozwoju Obszarów Wiejskich: Europa inwestuje w obszary wiejskie

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH

Zarządzenie nr.~ ~2015

Ochrona wrażliwych danych osobowych

POROZUMIENIE W SPRAWIE POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH

POLITYKA BEZPIECZEŃSTWA INFORMACJI. Heksagon sp. z o.o. z siedzibą w Katowicach. (nazwa Administratora Danych)

POWIERZENIE PRZETWARZANIA DANYCH OSOBOWYCH W RAMACH UMOWY nr.z dnia

POLITYKA BEZPIECZEŃSTWA INFORMACJI CENTRUM FOCUS ON GRZEGORZ ŻABIŃSKI. Kraków, 25 maja 2018 roku

Polityka bezpieczeństwa danych osobowych

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH

Program ochrony danych osobowych na poziomie LGR. radca prawny Jarosław Ornicz

Umowa nr. Wzór umowy o postępowaniu z danymi osobowymi i stosowanych środkach bezpieczeństwa w związku z zawarciem umowy nr... z dnia...

Polityki bezpieczeństwa danych osobowych w UMCS

ABI EXPERT+ Ochrona danych osobowych. Warsztat specjalistyczny. Zadania Administratora danych osobowych. Skuteczne narzędzie ADO

2. Administratorem Danych Osobowych w SGSP w rozumieniu ustawy o ochronie danych osobowych jest Rektor-Komendant SGSP.

II Lubelski Konwent Informatyków i Administracji r.

Umowa powierzenia przetwarzania danych osobowych

UMOWA W SPRAWIE POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH

Obowiązki lekarza, lekarza dentysty wykonującego działalność leczniczą w ramach praktyki zawodowej związane z ochroną danych osobowych

Transkrypt:

Powierzenie przetwarzania danych osobowych teoria vs. praktyka Krzysztof Wagner Auditor Wiodący TÜV Nord Polska sp. z o.o. Licencje Common Creatives 08/06/2016 1

Dlaczego o powierzeniu przetwarzania danych osobowych Prowadzenie działalności gospodarczej łączy się często z przekazywaniem przez nich danych osobowych podmiotom zewnętrznym. Może być obowiązek nałożony na przedsiębiorcę w przepisie prawa lub decyzja biznesowa przedsiębiorcy O ocenianej próbce powierzenie przetwarzania było najczęstszą formą przekazania danych osobowych innym podmiotom. Wydaje się to charakterystyczne dla naszych czasów, ze względu na królującą optymalizję kosztów i związany z nią oursourcing wszystkiego 08/06/2016 2

Dlaczego o powierzeniu przetwarzania danych osobowych Przekazywanie danych innym podmiotom: Służą temu dwie procedury, o których mowa w ustawie o ochronie danych osobowych: udostępnienie danych osobowych i powierzenie ich przetwarzania. 08/06/2016 3

Na początek parę definicji USTAWA z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. Dane osobowe Administrator danych Przetwarzanie danych Zbiór danych Przetwarzanie danych osobowych Powierzenie przetwarzania 08/06/2016 4

Na początek parę definicji Dane osobowe Art. 6. 1. W rozumieniu ustawy za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. 2. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. 3. Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań. 08/06/2016 5

Na początek parę definicji Administrator danych Art. 7 Ustawy: organ, jednostka organizacyjna, podmiot lub osoba, decydujące o celach i środkach przetwarzania danych osobowych 08/06/2016 6

Na początek parę definicji Przetwarzanie danych Art. 7 Ustawy: rozumie się przez to jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych; 08/06/2016 7

Na początek parę definicji Zbiór danych osobowych Art. 7 Ustawy: rozumie się przez to każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie; Przykłady popularnych zbiorów danych osobowych: Klienci Korespondencja przych.-wych. Pracownicy i kandydaci do pracy Kontrahenci Rejestr gości 08/06/2016 8

Na początek parę definicji Powierzenie przetwarzania Art. 31. 1. Administrator danych może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych. 2. Podmiot, o którym mowa w ust. 1, może przetwarzać dane wyłącznie w zakresie i celu przewidzianym w umowie. 3. Podmiot, o którym mowa w ust. 1, jest obowiązany przed rozpoczęciem przetwarzania danych podjąć środki zabezpieczające zbiór danych, o których mowa w art. 36 39, oraz spełnić wymagania określone w przepisach, o których mowa w art. 39a. W zakresie przestrzegania tych przepisów podmiot ponosi odpowiedzialność jak administrator danych. 4. W przypadkach, o których mowa w ust. 1 3, odpowiedzialność za przestrzeganie przepisów niniejszej ustawy spoczywa na administratorze danych, co nie wyłącza odpowiedzialności podmiotu, który zawarł umowę, za przetwarzanie danych niezgodnie z tą umową. 08/06/2016 9

Na początek parę definicji Powierzenie przetwarzania Art. 36. 1. Administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. 2. Administrator danych prowadzi dokumentację opisującą sposób przetwarzania danych oraz środki, o których mowa w ust. 1. 08/06/2016 10

Na początek parę definicji Powierzenie przetwarzania Art. 37. Do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych. Art. 38. Administrator danych jest obowiązany zapewnić kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane. Art. 39. 1. Administrator danych prowadzi ewidencję osób upoważnionych do ich przetwarzania, która powinna zawierać: 1) imię i nazwisko osoby upoważnionej; 2) datę nadania i ustania oraz zakres upoważnienia do przetwarzania danych osobowych; 3) identyfikator, jeżeli dane są przetwarzane w systemie informatycznym. 2. Osoby, które zostały upoważnione do przetwarzania danych, są obowiązane zachować w tajemnicy te dane osobowe oraz sposoby ich zabezpieczenia. 08/06/2016 11

WagBudownictwo Nasz przypadek studyjny to typowy obecnie model biznesowy: Grupa WagBudownictwo, w skład której wchodzi 10 Spółek: WagGrupa SA (firma matka) WagKonstrukcje sp. z o.o. WagInwestycje sp. z o.o. WagProjekty sp. z o.o.. Wag Centrum Usług Wspólnych sp. z o.o. Wag IT sp. z o.o. 08/06/2016 12

Modele powierzenia przetwarzania danych Wybrane przypadki 08/06/2016 13

Przypadek nr 1 Klasyczny Administrator Umowa PPDO nr 001 Usługodawca 001 Umowa PPDO nr 002 Usługodawca 002. Umowa PPDO nr nnn Usługodawca nnn 08/06/2016 14

Przypadek nr 1 Klasyczny Możliwe aspekty: potencjalni wewnętrzni klienci usług pomijają ABI lub inspektora ds. ochrony danych osobowych. Efektem są kulawe umowy PPDO bez klauzuli powierzenia (brak świadomości, dyscypliny wewnętrznej) utrzymywanie ewidencji: odnotowywanie nowych, wykreślanie nieaktywnych umów PPDO (zapewnienie zasobów najczęściej czasu) różne wzorce umów PPDO (brak kompatybilności) aktualizacja informacji w rejestrze zbiorów (własny lub na stronie GIODO) konieczność aktywnego włączenia ABI do obiegu umów np. opiniowanie, aktywne inicjowanie zmian np. powstaje nowy zbiór, zmiana przepisów (konieczność zapewnienia zasobów najczęściej czasu) okresowa weryfikacji wypełniania przez usługodawców warunków umów PPDO (czasochłonne audyty!) 08/06/2016 15

Przypadek 2 Zawiera dane pracowników Grupy Wag: imię nazwisko stanowisko jedn. organ. WagKonstrukcje telefon służb. e-mail wizerunek (zdjęcie) WagProjekty WagInwestycje WAGNET (Intranet) 08/06/2016 16

Przypadek 2 Kociołek Możliwe aspekty: trudna kwestia danych pracowniczych współistnienie zbiorów wielu administratorów (patrz art. 21 Dyrektywy Współadministratorzy ) wzajemna trudna do określenia wymiana danych Jak określić zakres odpowiedzialności np. w zakresie obowiązku informacyjnego Przykłady innych Kociołków : systemy obiegu korespondencji, dokumentów współdzielone Systemy HR-owe, RCP wspólne platformy zakupowe, przetargowe współdzielone BOK-i, platformy obsługi klienta 08/06/2016 17

Przypadek 3 Dostawca usług - Wag Centrum Usług Wspólnych HR: SAP Moduł HR Platforma rekrutacyjna Delegacje Flota Płatnik + aplikacje pom. Płatności 30 programów przetwarzających dane osobowe 10 podmiotów z grupy Wag obsługiwanych (PPDO) 15 stałych dostawców systemów i aplikacji WagIT dostarcza podstawowe usługi IT Liczba umów klientów PPDO: 10 Liczba umów PPDO z dostawcami IT: 20 Liczba zbiorów powierzonych: 60 Średnia liczba żądania zmiany, nowych usług ze strony Grupy Wag: 3/miesiąc Średni roczny przyrost dostawców z koniecznymi umowami PPDO: +8 08/06/2016 18

Przypadek 3 Dostawca usług CUW Możliwe aspekty: duża liczba umów PPDO proporcjonalna do liczby obsługiwanych klientów i usług specyficzny typ świadczonych usług - w większości wprost związany z przetwarzaniem danych osobowych. wielu dostawców zewnętrznych konieczne utrzymywanie stosownych umów PPDO z nimi. pozyskanie zgód klientów na podpowierzenie przetwarzania do dostawcy zewnętrznego. współdzielone zasoby, systemy. Wykonanie np. modyfikacji usługi na rzecz jednego klienta oddziałuje na innych 08/06/2016 19

Przypadek 4 Dostawca usług IT - WagIT : Serwery, systemy, bazy danych Sieć WAN LAN 100 programów przetwarzających dane osobowe 10 podmiotów z grupy Wag obsługiwanych (PPDO) 30 stałych dostawców systemów i aplikacji WagIT dostarcza podstawowe usługi IT Komputery Aplikacje Sprzęt mobilny, komunikacja Liczba umów klientów PPDO: 10 Liczba umów PPDO z dostawcami IT: 50 Liczba zbiorów powierzonych: > 100 Średnia liczba żądania zmiany, nowych usług ze strony Grupy Wag: 3/miesiąc Średni roczny przyrost dostawców z koniecznymi umowami PPDO: +8 08/06/2016 20

Przypadek 4 Dostawca usług IT Możliwe aspekty: bardzo duża liczba umów PPDO proporcjonalna do liczby obsługiwanych klientów i usług oraz dostawców zewnętrznych Kwestia różnych wymagań ze strony klienta wewnętrznego zarządzanie nimi na poziomie procesów PPDO wielu dostawców zewnętrznych konieczne utrzymywanie stosownych umów PPDO z nimi - PODPOWIERZENIE pozyskanie zgód klientów na podpowierzenie przetwarzania do dostawcy zewnętrznego. współdzielone zasoby, systemy. Wykonanie np. modyfikacji na rzecz jednego klienta oddziałuje na innych Dynamika w obszarze IT ciągłe żądanie zmian. Efektem tego są nieustanne zmiany w zapisach umów PPDO. 08/06/2016 21

Co w umowie Możliwe aspekty: Cel przetwarzania: określony w umowie, lub umowie towarzyszącej Zakres przetwarzania: wykaz zbiorów, rodzaje przetwarzania (np. odczyt, modyfikacja, składowanie, niszczenie itd. Warto zapewnić sobie określenie miejsca przetwarzania lub miejsca z jakiego będą przetwarzane dane, w tym w jakim kraju się to będzie odbywać. Zobowiązanie do spełnienia wymagań ustawy zgodnie z art. 36-39a Postępowanie na wypadek podpowierzenia przetwarzania do dostawcy zewnętrznego. Rekomendowane wymaganie zgody ADO na podpowierzenie. 08/06/2016 22

Co w umowie Możliwe aspekty: Zapisy umożliwiające skuteczne przeprowadzenie kontroli przez administratora danych osobowych danego zbioru danych w zakresie spełnienia wymogów ustawy i rozporządzenia przy przetwarzaniu danych osobowych Zapisy określające zasady udzielania upoważnień do przetwarzania danych Osobowych zgodnie z art. 37 Ustawy oraz prowadzenia ewidencji osób upoważnionych do przetwarzania danych osobowych Zapisy określające zasady informowania i postępowania na wypadek wystąpienia sytuacji mogących skutkować lub skutkujących utratą, nieuprawnionym dostępem lub modyfikacją powierzonych danych osobowych Zapisy o niezwłocznym obowiązku informowania administratora danych osobowych o jakimkolwiek postępowaniu, w szczególności administracyjnym lub sądowym, dotyczącym powierzonych do przetwarzania danych osobowych 08/06/2016 23

Co w umowie Możliwe aspekty: Forma pisemna Dedykowana umowa powierzenia przetwarzania danych lub cześć innej umowy np. na świadczenie usług. Wsparcie administratora w realizacji obowiązku informacyjnego, prowadzeniu dokumentacji przetwarzania danych osobowych 08/06/2016 24

Dziękuję! 08/06/2016 25

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres