Pobieranie prezentacji. Proszę czekać

Pobieranie prezentacji. Proszę czekać

Prawidłowe kształtowanie zasad ochrony danych osobowych w procesie tworzenia przepisów prawa Monika Krasińska Dyrektor Departamentu Orzecznictwa, Legislacji.

Podobne prezentacje


Prezentacja na temat: "Prawidłowe kształtowanie zasad ochrony danych osobowych w procesie tworzenia przepisów prawa Monika Krasińska Dyrektor Departamentu Orzecznictwa, Legislacji."— Zapis prezentacji:

1 Prawidłowe kształtowanie zasad ochrony danych osobowych w procesie tworzenia przepisów prawa Monika Krasińska Dyrektor Departamentu Orzecznictwa, Legislacji i Skarg Biuro GIODO Tomasz Głuszczyk Główny Specjalista w Departamencie Orzecznictwa, Legislacji i Skarg Biuro GIODO Projekt jest współfinansowany ze środków Unii Europejskiej w ramach Europejskiego Funduszu Społecznego

2 Przedmiot prezentacji organ ochrony danych osobowych zasady ogólne zasady przetwarzania danych - obowiązki administratorów prawa osób, których dane dotyczą powierzenie przetwarzania obowiązek zabezpieczenia danych obowiązek rejestracji zbioru danych odpowiedzialność karna Projekt jest współfinansowany ze środków Unii Europejskiej w ramach Europejskiego Funduszu Społecznego

3 Organ ochrony danych osobowych Generalny Inspektor Ochrony Danych Osobowych (art. 8-11) zadania (art. 12) uprawnienia kontrolne (art ) decyzje administracyjne (art. 18, art ), wnioski o wszczęcie post. dyscyplinarnego (art. 17), zawiadomienia o popełnieniu przestępstwa (art. 19) ogólnokrajowy, jawny rejestr zbiorów danych osobowych (art. 42) wystąpienia (art. 19a) opiniowanie projektów ustaw i rozporządzeń dotyczących ochrony danych osobowych (art. 12 pkt 5) uczestniczenie w pracach międzynarodowych organizacji i instytucji zajmujących się problematyką ochrony danych osobowych prowadzenie rejestru zbiorów danych osobowych Projekt jest współfinansowany ze środków Unii Europejskiej w ramach Europejskiego Funduszu Społecznego

4 Zasady ogólne każdy ma prawo do ochrony jego danych osobowych (art. 1 ustawy o ochronie danych osobowych, art. 47 i 51 Konstytucji RP) - dobro publiczne - dobro podmiotu danych - dobro osób trzecich zakres przedmiotowy i podmiotowy ustawy (art. 2-3) wyjątki w zakresie stosowania ustawy (art. 3a-5) pojęcie danych osobowych w świetle rozwoju nowoczesnych technologii (art. 6-7) - Opinia Grupy Roboczej Art. 29 Dyrektywy 96/45/WE nr 4/2007 w sprawie pojęcia danych osobowych - Wyrok z dnia 19 maja 2011 r., sygn. Akt IOSK 1079/10 Projekt jest współfinansowany ze środków Unii Europejskiej w ramach Europejskiego Funduszu Społecznego

5 Zasady przetwarzania danych osobowych - obowiązki administratora, dane zwykłe przesłanki legalizujące przetwarzanie danych osobowych zwykłych (art. 23 ust. 1) - zgoda osoby, której dane dotyczą (pkt 1). warunki pozyskiwania zgody przed i po nowelizacji ustawy o ochronie danych osobowych - uprawnienie / obowiązek wynikający z przepisu prawa (pkt 2) - umowa (pkt 3) - niezbędność do wykonania określonych prawem zadań realizowanych dla dobra publicznego - prawnie usprawiedliwiony cel administratora albo odbiorcy danych (pkt 5). marketing usług własnych. dochodzenie roszczeń Projekt jest współfinansowany ze środków Unii Europejskiej w ramach Europejskiego Funduszu Społecznego

6 Zasady przetwarzania danych osobowych - obowiązki administratora, dane szczególnie chronione przesłanki legalizujące przetwarzanie danych osobowych szczególnie chronionych (art. 27 ust. 2) - zgoda osoby, której dane dotyczą (forma pisemna), - przepisy szczególne ustawy zezwalające na przetwarzanie danych bez zgody osoby, której dane dotyczą, i stwarzające pełne gwarancje ich ochrony, - dla ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby, gdy osoba, której dane dotyczą, nie jest fizycznie lub prawnie zdolna do wyrażenia zgody, do czasu ustanowienia opiekuna prawnego lub kuratora, - dla wykonania statutowych zadań kościołów i in. związków wyznaniowych, stowarzyszeń, fundacji lub in. niezarobkowych organizacji lub instytucji o celach politycznych, naukowych, religijnych, filozoficznych lub związkowych, pod warunkiem, że przetwarzanie danych dotyczy wyłącznie członków tych organizacji lub instytucji albo osób utrzymujących z nimi stałe kontakty w związku z ich działalnością i zapewnione są pełne gwarancje ochrony przetwarzanych danych, - dla dochodzenia praw przed sądem, Projekt jest współfinansowany ze środków Unii Europejskiej w ramach Europejskiego Funduszu Społecznego

7 Zasady przetwarzania danych osobowych - obowiązki administratora, dane szczególnie chronione - dla wykonania zadań administratora danych odnoszących się do zatrudnienia pracowników i innych osób, a zakres przetwarzanych danych jest określony w ustawie. - gdy dane zostały podane do wiadomości publicznej przez osobę, której dotyczą, - dla prowadzenia badań naukowych, w tym do przygotowania rozprawy wymaganej do uzyskania dyplomu ukończenia szkoły wyższej lub stopnia naukowego; publikowanie wyników badań naukowych nie może następować w sposób umożliwiający identyfikację osób, których dane zostały przetworzone, - dla celu realizacji praw i obowiązków wynikających z orzeczenia wydanego w postępowaniu sądowym lub administracyjnym Projekt jest współfinansowany ze środków Unii Europejskiej w ramach Europejskiego Funduszu Społecznego

8 Zasady przetwarzania danych osobowych - obowiązki administratora zasada przetwarzania danych zgodnie z prawem (art. 26 ust. 1 pkt 1) – kształtowanie zasady legalizmu pozyskiwania i udostępniania danych osobowych w systemach informatycznych zasada celowości (art. 26 ust. 1 pkt 2) - wyjątki (art. 26 ust. 2) zasada merytorycznej poprawności i adekwatności danych (art. 26 ust. 1 pkt 3) zasada proporcjonalności w procesie zbierania danych osobowych - wyrok z 18 czerwca 2010 r. sygn. akt II SA/Wa 151/10 (dane biometryczne) Projekt jest współfinansowany ze środków Unii Europejskiej w ramach Europejskiego Funduszu Społecznego

9 Zasady ogólne - obowiązki administratora a prawa osób, których dane dotyczą prawo do kontroli przetwarzania danych (art. 32 i 33) - zakres informacji, jakie administrator jest obowiązany przekazać osobie, której dane dotyczą, na żądanie tej osoby prawo do informacji (art. 24 i 25) - minimum informacji, jakie administrator powinien przekazać osobie, której dane dotyczą, po zebraniu i utrwaleniu jej danych adres siedziby i nazwa administratora (art. 24, 25) cel i zakres zbierania danych (art. 24, 25) dostęp do treści oraz prawo poprawiania danych (art. 24, 25) informacja o odbiorcach danych (art. 24, 25) dobrowolność / obowiązek podania danych osobowych (art. 24) źródło danych (art. 25) uprawnienia z art. 32 ust. 1 pkt 7 i 8 (art. 25) Projekt jest współfinansowany ze środków Unii Europejskiej w ramach Europejskiego Funduszu Społecznego

10 Zwolnienia administratora z obowiązku realizacji prawa do informacji przepis innej ustawy pozwala na przetwarzanie danych bez ujawniania faktycznego celu ich zbierania (bez wiedzy osoby)- (art. 24, 25) osoba, której dane dotyczą, posiada informacje wymienione w tych przepisach (art. 24, 25) badania naukowe, historyczne, statystyczne, opinii publicznej,o ile przetwarzanie danych nie narusza praw i wolności osoby badanej a spełnienie obowiązku wymagałoby nadmiernych nakładów lub zagrażałoby realizacji celu badania (art. 25) przetwarzanie na podstawie przepisów prawa przez organy państwowe, samorządu terytorialnego, państwowe i komunalne jednostki organizacyjne, podmioty niepubliczne realizujące zadania publiczne (art. 25) Projekt jest współfinansowany ze środków Unii Europejskiej w ramach Europejskiego Funduszu Społecznego

11 Prawa osób, których dane dotyczą - kontrola przetwarzania danych inicjatywa (wniosek) osoby, której dane dotyczą (art.33) forma – pisemna termin 30 dni obowiązek poinformowania o przysługujących prawach w zakresie określonym art.32 ust. 1 pkt 1-5a Projekt jest współfinansowany ze środków Unii Europejskiej w ramach Europejskiego Funduszu Społecznego

12 Prawa osób, których dane dotyczą - zakres uprawnień kontrolnych istnienie zbioru (art. 32) ustalenie administratora (art. 32) cel, zakres i sposób przetwarzania danych (art. 32 i 33) od kiedy dane są przetwarzane (art. 32) treść danych - jakie dane zawiera zbiór (art. 32 i 33) źródło i sposób pozyskania danych (art. 32 i 33) prawo do uzupełnienia, uaktualnienia, sprostowania danych (art. 32) czasowe / stałe wstrzymanie przetwarzania danych; usunięcie danych (art. 32) żądanie zaprzestania przetwarzania danych ze względu na szczególną sytuację osoby wnoszącej żądanie (art. 32 ust. 1 pkt 7) wniesienie sprzeciwu wobec przetwarzania danych w celach marketingowych, przekazywania tych danych innemu administratorowi (art. 32 ust. 1 pkt 8) Projekt jest współfinansowany ze środków Unii Europejskiej w ramach Europejskiego Funduszu Społecznego

13 Ograniczenia prawa kontroli Ograniczenia wynikające z ustawy (art. 34): - wiadomości zawierające informacje niejawne - obronność / bezpieczeństwo państwa - życie lub zdrowia ludzi - bezpieczeństwo i porządek publiczny - podstawowy interes gospodarczy lub finansowy państwa - istotne naruszenie dóbr osobistych podmiotu danych lub innych osób Ograniczenia wynikające z innych przepisów prawa Ograniczenia wynikające z nieistnienia zbioru (art. 32 ust. 1) Projekt jest współfinansowany ze środków Unii Europejskiej w ramach Europejskiego Funduszu Społecznego

14 Umowa powierzenia Forma – pisemna (art.31 ust.1) Strony umowy – administrator danych i inny podmiot Treść umowy – określenie zakresu i celu przetwarzania Obowiązek podjęcia przez podmiot, któremu dane powierzono, środków zabezpieczających zbiór danych, przed rozpoczęciem przetwarzania (art.31 ust.2) Odpowiedzialność solidarna stron umowy za jej niewykonanie Podpowierzanie za zgodą administratora jako element umowy? Projekt jest współfinansowany ze środków Unii Europejskiej w ramach Europejskiego Funduszu Społecznego

15 Obowiązki administratora - zabezpieczenie danych zastosowanie środków technicznych i organizacyjnych zapewniające ochronę danych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, w szczególności przed udostępnieniem danych osobom nieupoważnionym (art. 36) wyznaczenie administratora bezpieczeństwa informacji (art. 36 ust. 3) nadanie upoważnień do przetwarzania danych osobowych (art. 37) prowadzenie ewidencji osób upoważnionych do przetwarzania danych (art. 39) zakres ewidencji: 1) imię i nazwisko osoby upoważnionej, 2) datę nadania i ustania oraz zakres upoważnienia do przetwarzania danych osobowych, 3) identyfikator, jeżeli dane są przetwarzane w systemie informatycznym zapewnienie kontroli nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane. Projekt jest współfinansowany ze środków Unii Europejskiej w ramach Europejskiego Funduszu Społecznego

16 Obowiązki administratora zabezpieczenie danych c.d. Ochrona Danych Osobowych – Rozporządzenie. Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z Nr100, poz.1024) Główne obszary regulacji sposób prowadzenia i zakres dokumentacji opisującej sposób przetwarzania danych osobowych oraz środki techniczne organizacyjne zapewniające ochronę przetwarzania danych osobowych odpowiednia do zagrożeń oraz kategorii danych objętych ochroną; podstawowe warunki techniczne i organizacyjne, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych; wymagania w zakresie odnotowania udostępniania danych osobowych i bezpieczeństwa przetwarzania danych osobowych. Projekt jest współfinansowany ze środków Unii Europejskiej w ramach Europejskiego Funduszu Społecznego

17 Ochrona Danych Osobowych – Rozporządzenie (dokumentacja) Cele i strategia zabezpieczenia danych Zagrożenia oraz ryzyko na jakie są narażone dane osobowe Wykaz budynków i pomieszczeń, w których przetwarzane są dane osobowe Dokumentację prowadzi się w formie pisemnej (§ 3 ust.2) Dokumentację wdraża administrator danych (§ 3 ust.3) Projekt jest współfinansowany ze środków Unii Europejskiej w ramach Europejskiego Funduszu Społecznego Dokumentacja przetwarzania danych osobowych Polityka bezpieczeństwa Instrukcja zarządzania systemem informatycznym

18 Ochrona Danych Osobowych – Rozporządzenie (dokumentacja) wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych; opis struktury zbiorów danych wskazujących zawartość poszczególnych pól informacyjnych i powiązania między nimi; (zakres przetwarzanych danych, ich kategoria) Sposób przepływu danych pomiędzy poszczególnymi systemami; Określenie środków technicznych i organizacyjnych, niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzania danych. 1. Polityka bezpieczeństwa Projekt jest współfinansowany ze środków Unii Europejskiej w ramach Europejskiego Funduszu Społecznego

19 Ochrona Danych Osobowych – Rozporządzenie (dokumentacja) analiza zagrożeń (fizyczne, techniczne, programowe) (pochodzenia naturalnego, ludzkiego, nieumyślne, celowe) analiza ryzyka słabość systemu (podatność na określone zdarzenia) Polityka bezpieczeństwa Określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzania danych Zapewnienie kierunków działania i wsparcie kierownictwa dla bezpieczeństwa informacji a. Definicję bezpieczeństwa informacji, jego ogólne cele i zakres oraz znaczenie bezpieczeństwa jako mechanizmu umożliwiającego współużytkowanie informacji; b. Oświadczenia o intencjach kierownictwa, potwierdzające cele i zasady bezpieczeństwa informacji Projekt jest współfinansowany ze środków Unii Europejskiej w ramach Europejskiego Funduszu Społecznego Norma PN-ISO/IEC 17799

20 Ochrona Danych Osobowych – Rozporządzenie (dokumentacja) 1. procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności (Internet – procedura rejestracji); 2. stosowanie metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem (Internet – zapominane hasło); 3. procedery rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu (Internet - pliki cookies); 4. procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania. 2. Instrukcja zarządzania systemem informatycznym Projekt jest współfinansowany ze środków Unii Europejskiej w ramach Europejskiego Funduszu Społecznego

21 Ochrona Danych Osobowych – Rozporządzenie (dokumentacja) 5. sposób, miejsce i okres przechowywania: a) elektronicznych nośników informacji zawierających dane osobowe, b) kopii zapasowych, o których mowa w pkt. 4, 5. sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, o których mowa w pkt. III ppkt 1 załącznika do rozporządzenia; 6. sposób realizacji wymogów, o których mowa w § 7 ust. 1 pkt 4; 7. procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych; 8. sposób zabezpieczenia nośników z danymi przekazywanymi poza obszar przetwarzania danych (dla danych wrażliwych). 2. Instrukcja zarządzania systemem informatycznym Projekt jest współfinansowany ze środków Unii Europejskiej w ramach Europejskiego Funduszu Społecznego

22 Obowiązki administratora – rejestracja zbioru danych Obowiązek zgłoszenia zbioru danych do rejestracji (art. 40) Zwolnienia z obowiązku rejestracji (art. 43 ust.1) Warunki formalne zgłoszenia (art. 41 ust. 1) Obowiązek zgłoszenia zmian z zbiorze (art. 41 ust. 2) Przesłanki wydania decyzji o odmowie rejestracji zbioru danych (art. 44) Projekt jest współfinansowany ze środków Unii Europejskiej w ramach Europejskiego Funduszu Społecznego

23 Przepisy karne przetwarzanie w zbiorze danych, choć ich przetwarzanie nie jest dopuszczalne albo bez uprawnienia (art. 49) udostępnienie danych lub umożliwienie dostępu do nich osobom nieupoważnionym przez administrującego zbiorem lub będącego obowiązanym do ochrony danych (art. 51) utrudnianie lub udaremnianie wykonywania czynności kontrolnych (art. 54a) naruszenie przez administrującego danymi choćby nieumyślnie obowiązku zabezpieczenia danych przed zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem (art. 52) niezgłoszenie do rejestracji zbioru danych (art. 53) niedopełnienie przez administrującego zbiorem obowiązku poinformowania osoby, której dane dotyczą, o jej prawach lub przekazania tej osobie informacji umożliwiających korzystanie z praw przyznanych jej w niniejszej ustawie (art. 54) Projekt jest współfinansowany ze środków Unii Europejskiej w ramach Europejskiego Funduszu Społecznego

24 Dziękuję za uwagę


Pobierz ppt "Prawidłowe kształtowanie zasad ochrony danych osobowych w procesie tworzenia przepisów prawa Monika Krasińska Dyrektor Departamentu Orzecznictwa, Legislacji."

Podobne prezentacje


Reklamy Google