Pobieranie prezentacji. Proszę czekać

Pobieranie prezentacji. Proszę czekać

OCHRONA DANYCH OSOBOWYCH Szkolenie wewnętrzne dla pracowników Uniwersytetu Medycznego w Białymstoku Opracowała: Emilia Minasz 1.

Podobne prezentacje


Prezentacja na temat: "OCHRONA DANYCH OSOBOWYCH Szkolenie wewnętrzne dla pracowników Uniwersytetu Medycznego w Białymstoku Opracowała: Emilia Minasz 1."— Zapis prezentacji:

1 OCHRONA DANYCH OSOBOWYCH Szkolenie wewnętrzne dla pracowników Uniwersytetu Medycznego w Białymstoku Opracowała: Emilia Minasz 1

2 2 Ochrona Danych Osobowych Prawo Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jednolity: Dz. U r. poz ze zm.)

3 3 Dane osobowe – wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej czyli takiej której tożsamość można określić. Dane osobowe zwykłe - przykłady : imię, nazwisko, adres zamieszkania, adres do korespondencji imię, nazwisko, numer telefon imię, nazwisko, numer dokumentu tożsamości imię, nazwisko, numer konta bankowego PESEL NIP niektóre e: np. Definicje

4 4 Dane osobowe wrażliwe - przykłady: stopień niepełnosprawności stan zdrowia, dane dotyczące zdrowia z Zakładowego Funduszu Świadczeń Socjalnych, dane medyczne dane wypadkowe BHP zaświadczenia o niekaralności, skazania, orzeczenia o ukaraniu mandaty, orzeczenia wydane przed sądem lub urzędem pochodzenie rasowe lub etniczne przynależność wyznaniowa, partyjna lub związkowa Definicje Dane osobowe wrażliwe - przykłady: stopień niepełnosprawności stan zdrowia, dane dotyczące zdrowia z Zakładowego Funduszu Świadczeń Socjalnych, dane medyczne dane wypadkowe BHP zaświadczenia o niekaralności, skazania, orzeczenia o ukaraniu mandaty, orzeczenia wydane przed sądem lub urzędem pochodzenie rasowe lub etniczne przynależność wyznaniowa, partyjna lub związkowa

5 5 Forma papierowa: akta osobowe, segregatory, archiwa, umowy z klientami, umowy-zlecenia, faktury Forma elektroniczna: programy komputerowe np. kadrowo-płacowe, dane na serwerze i na dyskach komputerów, pliki na pendrive Forma głosowa: centrala telefoniczna Forma wizyjna: monitoring wizyjny Zakres ustawy o ochronie danych osobowych Formy występowania danych osobowych

6 6 Przetwarzanie danych – jakiekolwiek operacje wykonywane na danych osobowych takie jak: Zbieranie Utrwalanie Przechowywanie Opracowywanie Zmienianie Wgląd Wprowadzanie Usuwanie, Niszczenie, Anonimizacja Definicje Co to jest przetwarzanie danych osobowych?

7 7 Przetwarzanie danych Przetwarzanie na serwerze i w biurze Archiwizacja, Kopie bezpieczeństwa Udostępnianie, powierzanie, przesyłanie Definicje Co to jest przetwarzanie danych osobowych?

8 8 Uniwersytet Medyczny w Białymstoku ADO (Administrator Danych Osobowych) Rektor - decyduje o tym, jakie będą przetwarzane dane osobowe, kto i w jaki sposób będzie je przetwarzał ABI (Administrator Bezpieczeństwa Informacji) Emilia Minasz – osoba wyznaczona do nadzoru nad przestrzeganiem zasad ochrony danych osobowych ASI (Administrator Systemu Informatycznego) Maciej Godlewski –osoba zatrudniona w Dziale Informatyki i Teletransmisji,odpowiedzialna za prawidłowe funkcjonowanie systemów informatycznych, sprzętu, oprogramowania i jego konserwację Definicje

9 9 Zgodnie z ustawą o ochronie danych osobowych przetwarzanie danych osobowych jest dopuszczalne tylko wtedy, gdy: 1) osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych; 2) jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa; 3) jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą; 4) jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego; 5) jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą. Przesłanki legalności przetwarzania danych

10 10 Przetwarzanie niektórych danych osobowych wymaga zgody osób. Sposoby dokumentowania zgody: podpis osoby, mail ze zgodą, zaznaczenie checkbox’a na formularzu internetowym Przykład klauzuli zgody: Zgodnie art. 23 ust. 1 pkt 1ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jednolity: Dz.U. z 2015 r., poz. 2135), wyrażam zgodę na przetwarzanie moich danych osobowych do celów: (przykłady) -aktualnej i przyszłych rekrutacji -uczestnictwa w szkoleniu -uczestnictwa w konkursie -realizacji projektu -marketingowych -badania losów zawodowych absolwentów Zgoda osoby

11 11 Przykłady zbiorów danych osobowych w Uniwersytecie Medycznym w Białymstoku Zbiór: Pracownicy Wersja papierowaWersja elektroniczna akta osobowe dokumentacja ZFŚŚ dokumentacja BHP Simple ERP, HCM Portal Pracowniczy POLON Płatnik Definicje Przykłady zbiorów

12 12 Zbiór: Korespondencja Wersja papierowaWersja elektroniczna Książka korespondencyjna EOD Kancelaria Zbiór: Monitoring wizyjny Wersja papierowaWersja elektroniczna Rejestrator Definicje Przykłady zbiorów

13 13 Przykłady zbiorów Zbiór: Studenci Wersja papierowaWersja elektroniczna Akta studentówBazus Zbiór: Absolwenci Wersja papierowaWersja elektroniczna Akta absolwentówBazus. Zbiory danych

14 14 Jeśli współpraca z innymi podmiotami oparta jest na powierzeniu przetwarzania danych osobowych wymagane jest sporządzenie pisemnej umowy powierzenia danych osobowych pomiędzy Uniwersytetem Medycznym w Białymstoku a innym podmiotem. Umowa powierzenia gwarantuje, że Uniwersytet Medyczny w Białymstoku współpracuje z podmiotami, które chronią powierzone dane osobowe z należytą starannością zgodnie z Ustawą o Ochronie Danych Osobowych Obowiązki prawne Współpraca z innymi podmiotami

15 15 Chronimy się przed incydentami i ich skutkami, takimi jak: Pożar, zalanie Utrata danych (awarie, brak prądu, wirusy) Świadome skasowanie danych Włamanie lub Kradzież danych Sprzedaż danych. Przed jakimi incydentami chronimy dane osobowe?

16 16 Chronimy się przed incydentami i ich skutkami, takimi jak: Wyrzucenie danych na śmietnik Przekazanie danych lub udostępnienie osobie nieupoważnionej Zagubienie dokumentacji, laptopa, pendrive Upublicznienie danych w internecie Przed jakimi incydentami chronimy dane osobowe?

17 17 Dane na monitorze widoczne dla osób postronnych Dokumentacja dostępna dla osób postronnych Incydenty - przykład Udostępnianie danych osobom nieupoważnionym

18 18 Ochrona pomieszczeń Monitoring Pomieszczenia podczas nieobecności zamykamy na klucz Szafy i biurka po godzinach pracy zamykamy na klucz Zabezpieczenia fizyczne - przykłady

19 19 Stosujemy politykę czystego biurka (po godzinach pracy) Zabezpieczenia fizyczne - przykłady

20 20 Drukarki i ksera zabezpieczone przed dostępem osób postronnych Dokumenty niszczymy w niszczarkach Zabezpieczamy dokumenty i nośniki przy wynoszeniu poza teren miejsca pracy Zabezpieczenia fizyczne - przykłady

21 21 Każdy użytkownik pracuje na WŁASNYM koncie (identyfikatorze) na komputerze na serwerze w programie z danymi osobowymi Włączamy zahasłowane wygaszacze ekranu po czasowym odejściu od stanowiska pracy Obowiązuje polityka czystego ekranu Po zakończeniu pracy wylogowujemy się i wyłączamy komputer Zabezpieczenia informatyczne

22 22 hasła powinny składać się z co najmniej 8 znaków duże litery + małe litery + cyfry (lub znaki specjalne) hasła muszą być zmieniane raz na 30 dni jeżeli system nie wymusza zmiany haseł, musisz sam zmieniać hasło wystrzegaj się stosowania łatwych do odgadnięcia haseł nie zapisuj haseł na kartkach, nie naklejaj na komputer, nie trzymaj pod klawiaturą lub w szufladzie nie udostępniaj swojego hasła innym osobom, a w przypadku ujawnienia hasła - natychmiast go zmień Zabezpieczenia informatyczne Polityka haseł

23 23 Nie instaluj (z internetu lub z nośników) programów na komputerach firmowych bez uzyskania zgody pracownika Działu Informatyki i Teletransmisji Ponosisz odpowiedzialność za szkody spowodowane przez tak samowolnie zainstalowane oprogramowanie W razie awarii komputera powiadom pracownika Działu Informatyki i Teletransmisji Nie wyłączaj programu antywirusowego Zakazane jest przeglądanie stron niedozwolonych (np. pornograficznych, terrorystycznych, hackerskich) W opcjach przeglądarki internetowej nie włączaj opcji autouzupełniania formularzy i zapamiętywania haseł Zabezpieczenia informatyczne i internetu

24 24 Jeśli wysyłasz mailem pliki z danymi osobowymi, powinieneś je zahasłować i ewentualnie spakować a hasło wysłać odbiorcy maila inną drogą (inny mail, SMS) Niedozwolone jest uczestniczenie w „łańcuszkach szczęścia” Uważaj na wybór adresata – łatwo o pomyłkę przy wysyłce Do korespondencji seryjnej używaj opcji do ukrytej wiadomości (UDW) Nie otwieraj w mailach podejrzanych załączników i linków (nawet od znajomych) Zgłaszaj pracownikowi Działu Informatyki i Teletransmisji przypadki podejrzanych maili Polityka korzystania z poczty

25 25 Każda osoba w Uniwersytecie Medycznym w Białymstoku przed dopuszczeniem do przetwarzania danych osobowych powinna zapoznać się zasadami ochrony danych, które zostały ustalone w: niniejszym szkoleniu, Zarządzeniu nr 49/15 Rektora UMB w sprawie ochrony danych osobowych przetwarzanych w UMB Regulaminie Ochrony Danych Osobowych w UMB Polityce Bezpieczeństwa danych osobowych w UMB Instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w UMB Po zapoznaniu się Rektor lub upoważniona osoba nadaje nam Upoważnienie do przetwarzania danych osobowych oraz jesteśmy zobowiązani do podpisania Oświadczenia o poufności. Zabezpieczenia osobowe

26 26 Uwaga! Pracownicy upoważnieni do przetwarzania danych osobowych są zobowiązani do ochrony danych zarówno w trakcie trwania zatrudnienia, jak i po jego ustaniu. Pracownik UMB jest zobowiązany zachować poufność przetwarzanych danych oraz sposobów ich zabezpieczenia Dane można wykorzystywać wyłącznie do celów, dla których zostały udostępnione Dokumenty zawierające informacje podlegające ochronie powinny być przechowywane na biurku i innych miejscach do tego przeznaczonych, w taki sposób, aby osoba nieuprawniona nie miała do nich dostępu Nośniki informacji (w formie papierowej i elektronicznej) z danymi podlegającymi ochronie nie można pozostawiać w miejscach ogólnodostępnych i niezabezpieczonych oraz nie należy udostępniać osobom nieupoważnionym Dokumenty wydrukowane w nadmiernej ilości, a także zawierające błędy lub, które nie są wykorzystywane do żadnych celów należy trwale zniszczyć w sposób uniemożliwiający odtworzenie treści Szczegółowe obowiązki pracownika UMB

27 27 Kto przetwarza w zbiorze dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do których przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2 (dla danych wrażliwych do lat 3) Kto administrując zbiorem danych lub będąc obowiązany do ochrony danych, udostępnia je lub umożliwia dostęp do nich osobom nieupoważnionym, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do 2 lat (nieumyślnie do 1 roku). Kto administrując danymi narusza choćby nieumyślnie obowiązek zabezpieczenia danych przed zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do 1 roku. Kary i sankcje

28 PYTANIA 28 Jak ogłaszać wyniki egzaminów? dwa przypadki: egzaminy wstępne na studiach egzaminy wstępne oraz egzaminy na studiach 1)Egzaminy wstępne Wyniki postępowania rekrutacyjnego są jawne (art. 169 ust. 16 ustawy Prawo o szkolnictwie wyższym). Dopuszczalne jest podawanie do publicznej wiadomości informacji o wynikach egzaminów wstępnych np. przez wywieszenie na tablicy imienia, nazwiska i wyniku egzaminu.

29 PYTANIA 29 2)Egzaminy w trakcie studiów Nie ma zezwolenia na upublicznianie wyników egzaminów w trakcie studiów (np. publikowanie imienia i nazwiska z wynikami egzaminu w gablotach, na stronach internetowych czy przez przesłanie pliku listy studentów z ocenami np. staroście, bez zgody studentów. Dopuszczalne bez zgody studenta jest zamieszczanie wyników egzaminów z podaniem jedynie numerów albumów.

30 PYTANIA 30 Czy i komu można udostępniać dane o studentach? Udzielanie informacji o studentach osobom nieupoważnionym, w tym również rodzicom studenta, jest niedopuszczalne. Informacji o studencie można udostępniać wyłącznie za zgodą studenta, za wyjątkiem podmiotów uprawnionych do ich otrzymania na mocy przepisów prawa (np. Policja, Prokuratura).

31 PYTANIA 31 Czy Uczelnia ma prawo publikować na swojej stronie internetowej dane studentów, w celu informowania ich o organizacji roku akademickiego? Nie, Uczelnia nie ma do tego prawa, żaden przepis prawa nie upoważnia do upublicznienia informacji dotyczących organizacji roku akademickiego z wykorzystaniem danych osobowych studentów.

32 32 Pytania i wątpliwości dotyczące ochrony danych osobowych proszę kierować do Administratora Bezpieczeństwa Informacji (ABI) ABI – Emilia Minasz Tel ABI kontakt:


Pobierz ppt "OCHRONA DANYCH OSOBOWYCH Szkolenie wewnętrzne dla pracowników Uniwersytetu Medycznego w Białymstoku Opracowała: Emilia Minasz 1."

Podobne prezentacje


Reklamy Google