Pobieranie prezentacji. Proszę czekać

Pobieranie prezentacji. Proszę czekać

DOKUMENTACJA OCHRONY DANYCH OSOBOWYCH dr hab. Mariusz Jagielski

OpublikowałBernard Wolski Został zmieniony 8 lat temu

Podobne prezentacje

Prezentacja na temat: "DOKUMENTACJA OCHRONY DANYCH OSOBOWYCH dr hab. Mariusz Jagielski"— Zapis prezentacji:

1 DOKUMENTACJA OCHRONY DANYCH OSOBOWYCH dr hab. Mariusz Jagielski
Wydział Prawa i Administracji DOKUMENTACJA OCHRONY DANYCH OSOBOWYCH dr hab. Mariusz Jagielski

2 Jakie dokumenty, od kiedy i na kiedy?
a. Polityka bezpieczeństwa informacji – 2004 r.; b. Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych – 2004 r.;

3 c. Indywidualne upoważnienia do przetwarzania danych osobowych nadane przez administratora każdej osobie, która bierze udział w procesie przetwarzania danych osobowych – 2004 r.; d. Potwierdzenie zobowiązania do zachowania danych oraz sposobu ich zabezpieczenia w tajemnicy – 2004 r.; e. Ewidencja osób upoważnionych do przetwarzania danych osobowych – 2004 r.;

4 f. Plan sprawdzeń zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych – nowe 2015! – niezwłocznie; g. Programy poszczególnych sprawdzeń zaplanowanych zgodnie z planem sprawdzeń – nowe 2015! – zgodnie z planem sprawdzeń, na co najmniej 7 dni przed podjęciem planowanych czynności;

5 h. Alternatywnie (w zależności od tego czy został powołany ABI):
Jest ABI: Sprawozdania z poszczególnych sprawdzeń – nowe 2015! – najpóźniej 30 dni po przeprowadzeniu sprawdzenia; Brak ABI: Dokumentacja poszczególnych sprawdzeń – nowe 2015! – niezwłocznie po przeprowadzeniu sprawdzenia;

6 i. Potwierdzenie zapoznania z przepisami o ochronie danych osobowych – nowe 2015! – niezwłocznie.

7 Ad. a) Polityka bezpieczeństwa
Musi być na piśmie Stanowi połączenie dokumentu programowego i prawnego – ma mieć charakter opisowy, nie tylko wyjaśniać zasady, ale też przekonywać do ich stosowania.

8 Charakter polityki bezpieczeństwa
Polityka bezpieczeństwa powinna odnosić się całościowo do problemu zabezpieczenia danych osobowych u administratora danych tj. zarówno do zabezpieczenia danych przetwarzanych tradycyjnie jak i danych przetwarzanych w systemach informatycznych.

9 Szczególna treść polityka bezpieczeństwa
1. Określenie miejsc, zbiorów i systemów informatycznych, w których przetwarzane są dane osobowe, opis ich struktury oraz wzajemnych powiązań (sposobu przepływu danych);

10 2. Ustanowienie zasad i reguł postępowania, które należy stosować, aby właściwie wykonać obowiązki administratora danych w zakresie ich zabezpieczenia (w szczególności chodzi o zapewnienie poufności, integralności i rozliczalności).

11 Zakres określa … §4 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r., w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100 poz. 1024)

12 Ad. b) Instrukcja Musi być na piśmie Stanowi zestaw procedur, które należy stosować – czyli jest wewnętrznym aktem prawnym.

13 Charakter instrukcji Odnosi się do danych przetwarzanych w systemie informatycznym (nie dotyczy przetwarzania tradycyjnego)

14 Szczególna treść instrukcji
Poszczególne procedury: nadawania uprawnień; uwierzytelniania; rozpoczęcia, zawieszenia i zakończenia pracy; tworzenia kopii zapasowych; procedury wykonywania przeglądów i konserwacji; itd. ….

15 Zakres określa … §5 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r., w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100 poz. 1024)

16 Ad. c) Upoważnienia do przetwarzania danych osobowych
Każda osoba biorąca udział w procesie przetwarzania musi być zidentyfikowana i otrzymać indywidualne upoważnienie; Upoważnienie nie może być blankietowe – musi z niego wynikać jakie uprawnienia w zakresie przetwarzania ma upoważniony.

17 Ad. d) Zobowiązanie do zachowania danych oraz sposobu ich zabezpieczenia w tajemnicy
Ma charakter indywidualny (podobnie jak upoważnienie); W praktyce najprościej połączyć je z upoważnieniem do przetwarzania danych osobowych.

18 Ad. e) Ewidencja upoważnień
Powinna zapewnić orientację w zakresie tego kto do jakich zasobów danych ma dostęp. UWAGA! Wdrożyć procedury aktualizacyjne i opisać je w Polityce bezpieczeństwa.

19 Ad. f) Plan sprawdzeń – nowe 2015!
Nowelizacja uodo zobowiązała administratorów do dokonywania okresowych samokontroli w zakresie zapewnienia przestrzegania przepisów o ochronie danych osobowych. Oficjalna nazwa - sprawdzenia

20 Częstotliwość i terminy - nowe 2015!
Plan sprawdzeń jest przygotowany na maksimum 1 rok - w tym czasie minimum 1 pełne sprawdzenie. Plan musi być przedstawiony administratorowi na 2 tygodnie przed rozpoczęciem sprawdzenia. Można sprawdzać się częściej – minimalny czasookres planu to 1 kwartał.

21 Treść - nowe 2015! Plan sprawdzeń określa: przedmiot poszczególnych sprawdzeń, zakres czynności, które będą podjęte w toku sprawdzenia oraz termin przeprowadzenia sprawdzenia.

22 Możliwości - nowe 2015! Można zaplanować jedno całościowe sprawdzenie lub kilka sprawdzeń cząstkowych. Przykładowo, dotyczących poszczególnych systemów (np. monitoring wizyjny), jednostek (np. kadry) lub czynności przetwarzania (np. udostępnianie danych).

23 Ad. g) Programy poszczególnych sprawdzeń – nowe 2015!
Dla każdego sprawdzenia określonego planem przygotowuje się program sprawdzenia, który określa: zakres czynności oraz sposób ich dokumentowania.

24 Zakres czynności - nowe 2015!
Jakie elementy systemu przetwarzania będą podlegać sprawdzeniu.

25 Metody dokumentowania - nowe 2015!
1) notatki z czynności; 2) protokoły odebrania ustnych wyjaśnień; 3) protokoły z oględzin; 4) kopie otrzymanych dokumentów. Sposób dokumentowania może być zarówno elektroniczny, jak i „papierowy”.

26 Terminy - nowe 2015! Zgodnie z planem sprawdzeń, na co najmniej 7 dni przed podjęciem planowanych czynności

27 Ad. h) Sprawozdanie// //dokumentacja sprawdzenia – nowe 2015!
Dokument zestawiający wyniki sprawdzenia. Szczegóły: art. 36c uodo.

28 W skrócie - nowe 2015! wykaz podjętych czynności;
opis stanu faktycznego stwierdzonego w toku sprawdzenia; stwierdzone przypadki naruszenia przepisów; planowane lub podjęte działania przywracające stan zgodny z prawem.

29 Z ABI - nowe 2015! Plan sprawdzeń, program sprawdzeń i sprawozdania z poszczególnych sprawdzeń przygotowuje ABI (formalnie dla administratora). Termin przygotowania sprawozdania – 30 dni od zakończenia sprawdzenia.

30 Bez ABI - nowe 2015! Plan sprawdzeń i programy poszczególnych sprawdzeń przygotowuje sam administrator. Zamiast sprawozdania przygotowuje dokumentację sprawdzeń (na potrzeby kontroli GIODO). Termin przygotowania dokumentacji sprawdzenia – niezwłocznie.

31 Ad. i) Potwierdzenie zapoznania z przepisami o ochronie danych osobowych – nowe 2015!
Kto? Wszystkie osoby, które zostały upoważnione do przetwarzania danych; Jak? Brak wskazania – decyduje administrator

32 Co warto? 1. Dołączyć odpowiednie oświadczenie do upoważnienia do przetwarzania danych. (upoważnienie do przetwarzania danych – zobowiązanie do zachowania poufnosci – oświadczenie o zapoznaniu się z przepisami) 2. Uwzględnić w ramach sprawozdania//dokumentacji ze sprawdzenia, czyli krótkie szkolenie w ramach samokontroli - nowe 2015!

33 dr hab. Mariusz Jagielski
Dziękuję za uwagę dr hab. Mariusz Jagielski

Pobierz ppt "DOKUMENTACJA OCHRONY DANYCH OSOBOWYCH dr hab. Mariusz Jagielski"

Podobne prezentacje

Kpt. mgr inż. Maciej Hamerski Wydział Kontrolno-Rozpoznawczy Komenda Miejska PSP w Olsztynie Ocena zgodności wyrobów budowlanych przeznaczonych do ochrony.

Kpt. mgr inż. Maciej Hamerski Wydział Kontrolno-Rozpoznawczy Komenda Miejska PSP w Olsztynie Ocena zgodności wyrobów budowlanych przeznaczonych do ochrony.
POSTĘPOWANIE KONTROLNE

POSTĘPOWANIE KONTROLNE
ZADANIA DYREKTORA SZKOŁY/PLACÓWKI W NOWYM NADZORZE PEDAGOGICZNYM opracowanie: Władysława Tkaczyk st. wizytator.

ZADANIA DYREKTORA SZKOŁY/PLACÓWKI W NOWYM NADZORZE PEDAGOGICZNYM opracowanie: Władysława Tkaczyk st. wizytator.
przeprowadzonych w przedszkolach województwa wielkopolskiego

przeprowadzonych w przedszkolach województwa wielkopolskiego
Organizacja nadzoru pedagogicznego w roku szkolnym 2010/2011.

Organizacja nadzoru pedagogicznego w roku szkolnym 2010/2011.
Kompleksowe zarządzanie bezpieczeństwem informacji

Kompleksowe zarządzanie bezpieczeństwem informacji
Kontrola zarządcza w jednostkach sektora finansów publicznych

Kontrola zarządcza w jednostkach sektora finansów publicznych
Michał Sztąberek iSecure Sp. z o.o.

Michał Sztąberek iSecure Sp. z o.o.
Platforma A2A PA2A.

Platforma A2A PA2A.
PODSYSTEM MONITOROWANIA EUROPEJSKIEGO FUNDUSZU SPOŁECZNEGO - PEFS

PODSYSTEM MONITOROWANIA EUROPEJSKIEGO FUNDUSZU SPOŁECZNEGO - PEFS
Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych

Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych
Eksploatacja zasobów informatycznych przedsiębiorstwa

Eksploatacja zasobów informatycznych przedsiębiorstwa
Nowy nadzór pedagogiczny Białystok, dnia 30.11.2009r.

Nowy nadzór pedagogiczny Białystok, dnia r.
Aktualne zagadnienia prawne.

Aktualne zagadnienia prawne.
BEZPIECZEŃSTWO PLACU ZABAW I GIER

BEZPIECZEŃSTWO PLACU ZABAW I GIER
UDZIAŁ WOJEWODY W PROCEDURZE ZWIĄZANEJ

UDZIAŁ WOJEWODY W PROCEDURZE ZWIĄZANEJ
Szkolenie w zakresie ochrony danych osobowych

Szkolenie w zakresie ochrony danych osobowych
Środki bezpieczeństwa

Środki bezpieczeństwa
Urząd Marszałkowski w Łodzi

Urząd Marszałkowski w Łodzi
Bezpieczeństwo danych przetwarzanych w podmiotach leczniczych

Bezpieczeństwo danych przetwarzanych w podmiotach leczniczych

Podobne prezentacje

Reklamy Google