Sprawdzenie systemu ochrony danych

Podobne dokumenty
Technologia Informacyjna i Prawo w służbie ochrony danych - #RODO2018

PRELEGENT Przemek Frańczak Członek SIODO

System wspomagania pracy Administratora Bezpieczeństwa Informacji Opis zmian w wersji

Przemysław Bańko Dyrektor ds. Bezpieczeństwa Smart In

1) przetwarzanie danych osobowych zgodnie z podstawowymi zasadami określonymi w

Które i jakie organizacje będą zobowiązane do wyznaczenia inspektora ochrony danych (IOD/DPO)

Załącznik Nr 4 do Umowy nr.

Ochrona danych osobowych

Monitorowanie systemów IT

ZAŁĄCZNIK SPROSTOWANIE

Technologia Infromacyjna i Prawo w służbie ochrony danych - #RODO2018

ZARZĄDZENIE Nr 12/2019 WÓJTA GMINY STANISŁAWÓW z dnia 15 lutego 2019 r. w sprawie zmiany Regulaminu Organizacyjnego Urzędu Gminy Stanislawów

Administrator bezpieczeństwa informacji, urzędnik do spraw ochrony danych osobowych, inspektor ochrony danych analiza porównawcza. dr Grzegorz Sibiga

RODO w spółkach jak przygotować się do nowych unijnych przepisów o ochronie danych

Magdalena Jacolik Mgr Prawa Europejskiego Aliant Krzyżowska Międzynarodowa Kancelaria Prawna

Plan szkolenia. Praktyczne aspekty wdrożenia ogólnego rozporządzenia o ochronie danych osobowych.

XVI Forum Szpitali Ochrona danych osobowych w kontekście wejścia w życie unijnych regulacji

Umowa powierzenia przetwarzania danych osobowych,

2. Proces tworzenie wewnętrznego systemu ochrony danych osobowych przedsiębiorcy. 3. Postanowienia dyrektywy 95/46/WE, które pozostaną aktualne

KONFLIKT INTERESÓW PRZY POWIERZENIU DPO INNYCH ZADAŃ A NAKAZ WYKONYWANIA OBOWIĄZKÓW W SPOSÓB NIEZALEŻNY

Ochrona danych osobowych w biurach rachunkowych

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH. zawarta w dniu... pomiędzy zwana dalej Przetwarzającym

Spis treści. Wykaz skrótów... Wprowadzenie...

INSPEKTOR DANYCH OSOBOWYCH CZYLI ABI PO NOWEMU W ASPEKCIE

c) ust. 11 otrzymuje brzmienie: 11. Burmistrza zastępuje w czasie jego nieobecności zastępca Burmistrza. ;

Ochrona danych osobowych, co zmienia RODO?

WSPÓŁTWORZENIE NOWEGO SYSTEMU MONITOROWANIA PRZESTRZEGANIA PRZEPISÓW O OCHRONIE DANYCH OSOBOWYCH. Monika Młotkiewicz

Administrator bezpieczeństwa informacji /Inspektor ochrony danych

Załącznik 5 Ankieta dla podmiotu przetwarzającego

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH. Niniejsza umowa została zawarta w Kluczborku w dniu. r. roku przez:

Rozporządzenie Ogólne o Ochronie Danych Osobowych - General Data Protection Regulation

Uchwała wchodzi w życie z dniem uchwalenia.

Zapytanie ofertowe w sprawie zamówienia o szacowanej wartości poniżej euro

RODO WYMOGI OCHRONY DANYCH OSOBOWYCH PACJENTÓW MLD Katowice, dnia 24 kwietnia 2018 r. r. pr. Michał Rytel

UMOWA w zakresie powierzenia przetwarzania danych osobowych. zawarta w XX w dniu XX XX XXXX roku pomiędzy: (dane podmiotu zawierającego umowę)

ZARZĄDZENIE Nr 81/2018 PREZYDENTA MIASTA KONINA. z dnia 4 lipca 2018 roku. w sprawie wyznaczenia Inspektorów Ochrony Danych

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH

! POLITYKA OCHRONY DANYCH OSOBOWYCH W KANCELARII KANCELARIA ADWOKATA ŁUKASZA DOLIŃSKIEGO

Prowadzący: Marcin Jastrzębski. Łódź, październik 2018r. Projekt współfinansowany przez Unię Europejską z Europejskiego Funduszu Społecznego

Polityka Ochrony Danych Osobowych. Magdalena Młynarczyk Lege Artis Biuro Obrotu Nieruchomościami

WARSZTATY PRZYGOTOWUJĄCE DO OBJĘCIA FUNKCJI ABI I ASI. NOWE ZADANIA - SPRAWDZENIA, SPRAWOZDANIA, JAWNY REJESTR ZBIORÓW DANYCH.

OBOWIĄZKI I ODPOWIEDZIALNOŚĆ ZA ZADANIA ZWIĄZANE Z OCHRONĄ DANYCH OSOBOWYCH W SZKOLE GŁÓWNEJ HANDLOWEJ W WARSZAWIE

UMOWA O POWIERZENIE PRZETWARZANIA DANYCH

Administrator bezpieczeństwa informacji /Inspektor ochrony danych

RODO w praktyce psychologicznej. adw. dr Maciej Bocheński Uniwersytet Jagielloński Krakowska Izba Adwokacka

UMOWA nr POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH

ZAPYTANIE OFERTOWE. wsparciu specjalistyczną i aktualną wiedzą m.in. w obszarach prawa,

Chroń Dane Osobowe. Personal Data Protection Officer. Konrad Gałaj-Emiliańczyk

Wszystkie poniższe numery artykułów dotyczą ustawy o ochronie danych osobowych.

POLITYKA BEZPIECZEŃSTWA INFORMACJI. Heksagon sp. z o.o. z siedzibą w Katowicach. (nazwa Administratora Danych)

Inspektor ochrony danych

Umowa powierzenia przetwarzania danych osobowych (zwana dalej Umową )

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH - WZÓR. zawarta w dniu... w. pomiędzy:

Opracował Zatwierdził Opis nowelizacji

Umowa powierzenia przetwarzania danych osobowych (zwana dalej Umową )

NOWE OBOWIĄZKI DYREKTORA JAKO ADMINISTRATORA DANYCH OSOBOWYCH

UMOWA Nr UE powierzenia przetwarzania danych osobowych w związku z zawarciem w dniu... umowy nr UE

Data ProtectionOfficer(DPO) i administrator bezpieczeństwa informacji. Porównanie instytucji

I. Postanowienia ogólne

Instytucja administratora bezpieczeństwa informacji przy obecnie obowiązujących przepisach prawa Pytania, odpowiedzi, fakty i mity

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH

Agenda. Ogólne rozporządzenie o ochronie danych -RODO. Jakie działania należy podjąć, aby dostosować firmę do wymagań rozporządzenia GDPR/RODO?

Wdrożenie wymagań RODO w organizacji niezbędne czynności i harmonogram ich realizacji

zwana dalej Administratorem

WZÓR UMOWA O POWIERZENIE PRZETWARZANIA DANYCH OSOBOWYCH

Przykład klauzul umownych dotyczących powierzenia przetwarzania

RODO. Nowe prawo w zakresie ochrony danych osobowych. Radosław Wiktorski

ZARZĄDZENIE NR K PREZYDENTA MIASTA ZIELONA GÓRA - KIEROWNIKA URZĘDU. z dnia 24 maja 2018 r.

Umowa powierzenia przetwarzania danych osobowych. zawarta dnia.. roku pomiędzy: (zwana dalej Umową )

Planowany zakres nowelizacji ustawy o ochronie danych osobowych w 2012r. Maciej Byczkowski, Andrzej Rutkowski, Stefan Szyszko

rodo. naruszenia bezpieczeństwa danych

Pierwsze doświadczenia w wykonywaniu funkcji IODy

Powierzenie przetwarzania danych osobowych w stosunkach pracy. Wybrane zagadnienia.

Administrator Bezpieczeństwa informacji

Załącznik Nr 4 Do Załącznika Nr 7 Do SIWZ [WZORU UMOWY]

Załącznik Nr 4b Umowa powierzenia przetwarzania danych osobowych stanowiąca uzupełnienie Umowy Nr..

CO ZROBIĆ ŻEBY RODO NIE BYŁO KOLEJNYM KOSZMAREM DYREKTORA SZKOŁY? mgr inż. Wojciech Hoszek

z dnia 2014 r. w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych

UMOWA O UDOSTĘPNIANIE DANYCH OSOBOWYCH. reprezentowanym przez Dyrektora [ ], zwanym dalej jako Przedszkole Nr ; a

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH

POLITYKA PRYWATNOŚCI

Akademia RODO - Rola i obowiązki Inspektora Ochrony Danych Osobowych (IOD) w organizacji

INSPEKTOR DANYCH OSOBOWYCH CZYLI ABI PO NOWEMU W ASPEKCIE

POLITYKA BEZPIECZEŃSTWA. w spółce W.EG Polska sp. z o.o. z siedzibą we Wrocławiu

3) ograniczenie przetwarzania oznacza oznaczenie przechowywanych danych osobowych w celu ograniczenia ich przyszłego przetwarzania;

Umowa powierzenia przetwarzania danych osobowych

Program. Polexpert - informacje o szkoleniu. Kod szkolenia: Miejsce: Wrocław, Wrocław - Centrum miasta. Koszt szkolenia: 1790.

RODO Nowe zasady przetwarzania danych osobowych. radca prawny Piotr Kowalik Koszalin, r.

Załącznik nr 4 do Umowy nr /PDH/2018 z dnia.. ( Umowa ) UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH

Radom, 13 kwietnia 2018r.

Zadania administratora bezpieczeństwa informacji w krajowych przepisach o ochronie danych osobowych aktualny stan prawny

PROCEDURA WSPÓŁPRACY Z PODMIOTAMI ZEWNĘTRZNYMI

INSTRUKCJA POSTĘPOWANIA W SYTUACJI STWIERDZENIA NARUSZENIA OCHRONY DANYCH OSOBOWYCH

UMOWA Nr UE powierzenia przetwarzania danych osobowych w związku z zawarciem w dniu... umowy nr UE

Wprowadzenie do RODO. Dr Jarosław Greser

UMOWA powierzenia przetwarzania danych osobowych, zwana dalej Umową

Umowa powierzenia przetwarzania danych osobowych. W związku z zawarciem umowy nr z dnia. r. dotyczącej projektu

Transkrypt:

Tworzenie systemu ochrony danych osobowych wymaga przeprowadzenia analizy poszczególnych wymogów obecnie obowiązującego prawa, jak również tych przepisów, które zaczną obowiązywać w roku 2018. Stworzenie planu działania jest kluczem do skutecznego wdrożenia systemu bezpieczeństwa danych osobowych. Poszczególne wymogi powinny zostać spełnione w odpowiedniej kolejności, tak by nie powodować chaosu w organizacji. Dodatkowo powinniśmy pamiętać o zasobach potrzebnych do stworzenia systemu ochrony danych, tj. zasobach ludzkich, środkach finansowych i dostępnych obszarach przetwarzania. Sprawdzenie systemu ochrony danych System ochrony danych osobowych, podobnie jak każdy wewnętrzny system reguł postępowania, w określonych sytuacja wymaga okresowej weryfikacji. Musi być ona dokonywana systematycznie (obecnie obowiązuje okres jednego roku jako maksymalny przedział czasowy 27 ), gdyż każda organizacja zmienia się wraz z upływem czasu, stosuje coraz nowsze technologie przy przetwarzaniu danych osobowych, upraszcza procesy ich przetwarzania, a niekiedy gromadzi więcej danych o osobach, których dane dotyczą. Głównym zadaniem ABI w organizacji są obecnie sprawdzenia systemu ochrony danych osobowych podzielone na trzy kategorie wewnętrzne: sprawdzenia planowe, doraźne i na żądanie GIODO. Jedynie poprzez okresowe sprawdzenia ABI można w sposób obiektywny dowiedzieć się, jak faktycznie są przetwarzane w organizacji dane osobowe oraz czy zidentyfikowany sposób przetwarzania danych jest zgody z treścią wewnętrznej dokumentacji ochrony danych osobowych. Obowiązujący aktualnie cykl sprawdzeń charakteryzuje się sporym formalizmem. 27 Par. 3 ust. 5 rozporządzenia Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji (Dz.U. poz. 745). 36

Sprawdzenie systemu ochrony danych 14 dni przed pierwszą czynnością objętą planem informacja do administratora danych 7 dni przed pierwszą czynnością objętą planem informacja do kierownika jednostki organizacyjnej podlegającej sprawdzeniu 30 dni na przygotowanie sprawozdania ze sprawdzenia planowego oraz jego dostarczenie do administratora danych Przygotowanie kolejnego planu sprawdzeń na następny okres nie mniejszy niż kwartał i nie większy niż rok Rys. 5. Terminy sprawdzeń planowych Inspektor ochrony danych również musi realizować zadania sprawdzające i audytowe, jednak rozporządzenie ogólne UE nie określa szczegółowo, jak taki proces ma wyglądać, należy więc założyć, że pozostanie tu pewna doza dowolności co do tego, jakimi metodami będą przeprowadzane audyty oraz w jakich odstępach czasu będą dokonywane. Inspektor ochrony danych ma następujące zadania: [ ] monitorowanie przestrzegania niniejszego rozporządzenia, innych przepisów Unii lub państw członkowskich o ochronie danych oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty; [ ] 28. 28 Art. 39 ust. 1 pkt b rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych). 37

Powyższe zadania są bardzo zbliżone do zadań obecnie funkcjonującego ABI. Pozwoli to z pewnością na stosunkowo płynne przejście z obecnego rygoru prawnego do bardziej dowolnego kształtowania cyklu sprawdzeń. Każde sprawozdanie ze sprawdzenia systemu ochrony danych osobowych (nawet jeżeli sprawdzenie nie wykaże żadnych niezgodności z przepisami prawa) powinno uwzględniać ciągłe doskonalenie tego systemu. Warto pamiętać, że obecnie obowiązujący przedział czasowy pomiędzy sprawdzeniami czyli rok to wystarczająco dużo, by osoby przetwarzające dane osobowe zdążyły zapomnieć o ryzykach, jakie wiążą się z przetwarzaniem danych osobowych lub aby po prostu powstały nowe ryzyka. Podobnie rzecz ma się z podmiotami zewnętrznymi, którym powierzono przetwarzanie danych osobowych. Istnieje duże prawdopodobieństwo, że także w tych podmiotach osoby odpowiedzialne za przestrzeganie obowiązków wynikających z umów powierzenia przetwarzania danych osobowych zapomną o nich lub po prostu przestaną chronić powierzone dane w celu ograniczenia kosztów. Mówiąc inaczej, w przypadku większości organizacji roczny cykl sprawdzeń wydaje się optymalnym rozwiązaniem dla sprawdzenia systemu ochrony danych osobowych. Nieco innym rodzajem sprawdzeń są tzw. sprawdzenia doraźne czy też incydentalne. ABI musi przeprowadzić sprawdzenie, gdy dojdzie do incydentu lub nawet samego zagrożenia danych osobowych. Celem przeprowadzania tej kategorii sprawdzeń jest przede wszystkim podjęcie szybkich działań naprawczych i zapobiegawczych przez administratora danych. Jednak możliwe jest to dopiero wtedy, gdy incydent lub zagrożenie będzie ostatecznie zidentyfikowane. 38

Sprawdzenie systemu ochrony danych Rys. 6. Cykl sprawdzeń doraźnych W ramach incydentów ochrony danych osobowych rozporządzenie ogólne UE nakłada dodatkowe obowiązki, jednak dotyczą one samego administratora danych, a nie inspektora ochrony danych. Konkretnie jest to obowiązek zawiadomienia organu nadzorczego GIODO nie później nie po upływie 72 godzin. W przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia zgłasza je organowi nadzorczemu właściwemu zgodnie z art. 55, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia 29. Ostatecznie może dojść do sytuacji, w której GIODO postanowi zweryfikować zgodność przetwarzania danych osobowych w konkretnej organizacji. Może wówczas wystąpić z żądaniem przeprowadzenia 29 Art. 33 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych). 39

sprawdzenia przez ABI oraz z żądaniem przesłania sprawozdania z tego sprawdzenia. Generalny Inspektor może zwrócić się do administratora bezpieczeństwa informacji wpisanego do rejestru, o którym mowa w art. 46c, o dokonanie sprawdzenia, o którym mowa w art. 36a ust. 2 pkt 1 lit. a, u administratora danych, który go powołał, wskazując zakres i termin sprawdzenia. Po dokonaniu sprawdzenia, o którym mowa w art. 36a ust. 2 pkt 1 lit. a, administrator bezpieczeństwa informacji, za pośrednictwem administratora danych, przedstawia Generalnemu Inspektorowi sprawozdanie, o którym mowa w art. 36a ust. 2 pkt 1 lit. a 30. Żądanie przeprowadzenia sprawdzenia przez GIODO Sprawozdanie ze sprawdzenia przekazane do GIODO za pośrednictwem ADO Sprawdzenie na żądanie GIODO przeprowadzone przez ABI Rys. 7. Sprawdzenie na żądanie GIODO etapy procesu Podsumowując, sprawdzenia systemu ochrony danych osobowych (obecnie obowiązujące, jak i te, których obowiązek przeprowadzania pojawia się na mocy rozporządzenia ogólnego UE) pozostaną obowiązkiem ABI lub IOD. Jest to główna metoda utrzymywania stanu ochrony danych osobowych w organizacji w ciągłej zgodności z przepisami prawa oraz sukcesywnego doskonalenia bezpieczeństwa informacji w organizacji. Modyfikacja systemu ochrony danych Podstawą do wprowadzania zmian w systemie ochrony danych osobowych są sprawozdania ze sprawdzeń. Z tego też względu muszą one zawierać rekomendacje mające na celu poprawę. Aby jednak właści- 30 Art. 19b ust. 1 i 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2016 r. poz. 922 ze zm.). 40

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres