NAJWAŻNIEJSZE AKTY PRAWNE WYKONAWCZE DO USTAWY Z 29 SIERPNIA 1997 ROKU O OCHRONIE DANYCH OSOBOWYCH.

Slides:



Advertisements
Podobne prezentacje
AKTUALIZACJA STANU PRAWNEGO W ZAKRESIE KONTROLI WYMOGÓW I KONTROLI IDENTYFIKACJI I REJESTRACJI ZWIERZĄT Puławy, ; r.;
Advertisements

JASTRZĘBIA GÓRA 2010 Przekształcenia do postaci mapy zasadniczej do postaci cyfrowej i utworzenia baz danych Karol Kaim.
Dział Zasobów Archiwalnych
Kompleksowe zarządzanie bezpieczeństwem informacji
Michał Sztąberek iSecure Sp. z o.o.
Zarys formalno – prawnych aspektów przetwarzania informacji niejawnych w systemach teleinformatycznych Autor: Adam ZIĘBA JAWNE.
Platforma A2A PA2A.
Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych
zgodności organizacji bibliotek z arkuszem organizacji
Eksploatacja zasobów informatycznych przedsiębiorstwa
Polskie przepisy dotyczące tworzenia i funkcjonowania EUWT
Aktualne zagadnienia prawne.
Niektóre procedury wynikające z przepisów prawa, przy bieżącej aktualizacji ewidencji gruntów i budynków, dokonywanej przez starostów. Zgłoszenia zmiany,
POLICJA.
Szkolenie w zakresie ochrony danych osobowych
PROJEKT SIECI KOMPUTEROWYCH
REJESTR DZIAŁAŃ RATOWNICZYCH
Środki bezpieczeństwa
Bezpieczeństwo danych przetwarzanych w podmiotach leczniczych
Elektroniczny Obieg Dokumentów i Elektroniczna Skrzynka Podawcza
Wymogi prawne i standardy dystrybucji przeszczepów
BEZPIECZEŃSTWO ELEKTRONICZNYCH DANYCH MEDYCZNYCH
Ochrona danych osobowych w ngo
WYDZIAŁ KSZTAŁCENIA PRZEDSZKOLNEGO, PODSTAWOWEGO I GIMNAZJALNEGO Gdańsk, dnia 26 sierpnia 2008 r. Kuratorium Oświaty w Gdańsku.
Dyrektor Departamentu Orzecznictwa, Legislacji i Skarg
Innowacje pedagogiczne w przedszkolach
Usługi BDO - odpowiedź na realne potrzeby rynku
Wojewódzki Urząd Pracy w Olsztynie Wojewódzki Urząd Pracy w Olsztynie Reforma sieci EURES- nowe możliwości dla agencji zatrudnienia Aneta Majbańska Doradca.
Aleph Raporty, raport danych osobowych, ubytki OPAC.
Ochrona danych osobowych i informacji niejawnych
KONTROLA ZARZĄDCZA - 1 Kontrolę zarządczą stanowi ogół
Zgłaszanie prac geodezyjnych
SIO źródło danych o kształceniu zawodowym i planowane zmiany.
Ochrona danych osobowych w administracji publicznej
ETAPY WDROŻENIE SYSTEMU ELEKTRONICZNEGO ZARZĄDZANIA DOKUMENTACJĄ
Przygotowali: Anna Farion Dariusz Droździel
Ergonomia procesów informacyjnych
niezawodności Z problemem jakości systemów informacyjnych wiąże się problem zapewnienia odpowiedniej niezawodności ich działania.
Eksploatacja zasobów informatycznych przedsiębiorstwa.
Ocena jakości systemów informacyjnych (aspekt eksploatacyjny)
SYSTEM ZARZĄDZANIA BEZPIECZEŃSTWEM INFORMACJI- wymagania normy ISO 27001:2007 Grażyna Szydłowska.
Eksploatacja zasobów informatycznych przedsiębiorstwa.
USTAWA z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych
Ul. Basztowa 22, Kraków tel , fax NIEODPŁATNA POMOC PRAWNA [ustawa z dnia 5 sierpnia 2015 r. o nieodpłatnej.
Moduł e-Kontroli Grzegorz Dziurla.
Akty prawne Ustawa z dnia 26 stycznia 1982 r.
DOKUMENTACJA OCHRONY DANYCH OSOBOWYCH dr hab. Mariusz Jagielski
POLITYKA BEZPIECZEŃSTWA. Podstawa prawna: §3 i §4 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r., w sprawie dokumentacji.
OCHRONA DANYCH OSOBOWYCH NA UCZELNI
Kontrola zarządcza w jednostce budżetowej
Bezpieczeństwo informacyjne i informatyczne państwa
MINISTERSTWO ROLNICTWA I ROZWOJU WSIBIURO POMOCY TECHNICZNEJ Krajowa Sieć Obszarów Wiejskich
DOKUMENTACJA OCHRONY DANYCH OSOBOWYCH dr hab. Mariusz Jagielski
System ochrony danych osobowych a System zarządzania bezpieczeństwem informacji - w kontekście Rozporządzenia o Krajowych Ramach Interoperacyjności i normy.
Rada szkoleniowa „Cyfrowe bezpieczeństwo danych osobowych w szkole”
OCHRONA INFORMACJI NIEJAWNYCH podstawowe pojęcia i wymagania Warszawa, 15 marca 2016 r. mgr inż. Zbysław Antoni KUCZA.
Ochrona danych osobowych w placówce oświatowej Obowiązki, zadania i uprawnienia dyrektora placówki Warsztat specjalistyczny 2014.
Zasady zgłaszania innowacji pedagogicznej w kontekście
Udostępnianie dokumentacji w archiwum wyodrębNionym – do celów służbowych i naukowo-badawczych mgr Klaudia Banach.
Rozporządzenie Ministra Edukacji Narodowej z dnia 27 października 2009 r. w sprawie wymagań, jakim powinna odpowiadać osoba zajmująca stanowisko dyrektora.
Problematykę ochrony osób, mienia i informacji niejawnych normują:
TRANSPORTOWY DOZÓR TECHNICZNY
Co się zmienia w systemie ochrony danych osobowych w świetle RODO
CENTRUM KSZTAŁCENIA PODYPLOMOWEGO PIELĘGNIAREK I POŁOŹNYCH
Przetwarzanie danych osobowych - dokumentacja
Zmiany związane z wejściem w życie Rozporządzenia o Ochronie Danych Osobowych (RODO) stosowane od dnia r.
Ochrona danych osobowych w placówce oświatowej
Samorządowa Elektroniczna Platforma Informacyjna (SEPI) Kompleksowe rozwiązanie służące do udostępniania informacji i usług publicznych.
Zapasowe miejsca pracy – zasady wyboru i funkcjonowania.
OCHRONA DANYCH OSOBOWYCH Andrzej Rybus-Tołłoczko
Zapis prezentacji:

NAJWAŻNIEJSZE AKTY PRAWNE WYKONAWCZE DO USTAWY Z 29 SIERPNIA 1997 ROKU O OCHRONIE DANYCH OSOBOWYCH.

1.Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. Nr 100, poz. 1024)

Rozporządzenie określa: sposób prowadzenia i zakres dokumentacji opisującej przetwarzanie danych osobowych, rodzaj środków technicznych i organizacyjnych wprowadzone do ochrony danych osobowych, adekwatnie do kategorii danych i stopni zagrożeń oraz sposób odnotowywania udostępniania danych osobowych, podstawowe warunki jakim powinny odpowiadać środki zabezpieczenia - zarówno techniczne jak i organizacyjne w systemach i urządzeniach informatycznych służących przetwarzaniu danych osobowych.

Dokumentacja to polityka bezpieczeństwa i instrukcja zarządzania systemem informatycznym. Polityka bezpieczeństwa to rodzaj drogowskazu dotyczącego polityki w zakresie bezpieczeństwa danych osobowych - zarówno dla kierownictwa przedsiębiorstwa, szkoły, uczelni, zakładu opieki zdrowotnej jak i jego pracowników oraz innych osób upoważnionych do przetwarzania danych. Polityka bezpieczeństwa jest zbiorem zasad i procedur obowiązujących w całym procesie przetwarzania danych osobowych.

W Rozporządzeniu wymieniono minimum informacji, które powinna polityka bezpieczeństwa ujmować i są to:  wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe;  wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych;  opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi;  sposób przepływu danych pomiędzy poszczególnymi systemami.  określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych.

Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych - wymagana jest jedynie od administratorów przetwarzających dane w systemie informatycznym i zawiera spis procedur związanych z przetwarzaniem danych, rejestrowaniem zbiorów, wprowadzaniem zabezpieczenia.

Rozporządzenie wyróżnia trzy poziomy ochrony:  Poziom podstawowy stosuje się, gdy w systemie informatycznym nie są przetwarzane dane sensytywne, a system nie jest połączony z siecią publiczną,  Poziom co najmniej podwyższony, gdy w systemie informatycznym są przetwarzane dane sensytywne, a system nie jest połączony z siecią publiczną,  Poziom wysoki gdy w systemie informatycznym są przetwarzane dane sensytywne, a system jest połączony z siecią publiczną.

SYSTEM OCHRONY NA POZIOMIE PODSTAWOWYM * zabezpieczenie obszaru, w którym przetwarzane są dane, na czas nieobecności osób upoważnionych do przetwarzania danych, *dopuszczenie do obecności osób postronnych tylko za zgodą podmiotu upoważnionego #stosowanie mechanizmów kontroli w systemach informatycznych – identyfikatorów, #zabezpieczenie antywirusowe systemu uniemożliwiające dostęp cyberprzestępcom, zabezpieczenie ciągłości zasilania - zmiana hasła 1x30 dni, - nie korzystanie z kopii zapasowych danych przetwarzanych w SI, - szczególna ostrożność przy komputerach przenośnych – wprowadzenie kryptografii, - urządzenia przeznaczone do sprzedaży, likwidacji, naprawy mają kasowane wszystkie dane.

SYSTEM OCHRONY NA POZIOMIE PODWYŻSZONYM ***poufność danych - zapewnienie, że dane nie są udostępniane nieupoważnionym podmiotom, ***integralność danych - zapewnienie, że dane nie zostały zmienione lub zniszczone w sposób nieautoryzowany ----urządzenia i nośniki zawierające dane osobowe wrażliwe przekazywane poza obszar ochrony zabezpiecza się w sposób zapewniający poufność i integralność tych danych w przypadku gdy do uwierzytelniania użytkowników używa się hasła, składa się ono co najmniej z 8 znaków, zawiera małe i wielkie litery oraz cyfry lub znaki specjalne wymogi zastrzeżone dla poziomu podstawowego

SYSTEM OCHRONY NA POZIOMIE WYSOKIM ….wdrożenie fizycznych lub logicznych zabezpieczeń chroniących system informatyczny przed nieuprawnionym dostępem, ….kontrola przepływu informacji pomiędzy SI administratora danych a siecią publiczną; ….kontrola działań inicjowanych z sieci publicznej i SI …..stosuje się środki kryptograficznej ochrony wobec danych wykorzysty wanych do uwierzytelnienia, które są przesyłane w sieci publicznej …..stosuje się środki przewidziane dla poziomu podstawowego i podwyższonego

2. Rozporządzenie Ministra Administracji I Cyfryzacji z dnia 11 maja 2015 r. w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji(Dz. U. z dnia 29 maja 2015 r.)

Przedmiotem Rozporządzenia jest tryb i sposób sprawdzania przetwarzania danych osobowych pod kątem ich zgodności z ustawą oraz sporządzanie sprawozdania w tym zakresie przez ABI: ABI dokonuje sprawdzenia dla ADO lub GIODO ABI działa w trybie:  planowanym,  doraźnym,  na wniosek GIODO

Sprawdzenie, o którym mowa w Rozporządzeniu dotyczy: zbiorów danych osobowych, systemów informatycznych i obejmuje weryfikację ich zgodności z ustawą o ochronie danych osobowych oraz przepisami wykonawczymi. Sprawdzeniem obejmuje sie okres nie krótszy od kwartału i nie dłuższy od 12 miesięcy, a zbiory danych i systemy informatyczne sprawdza się nie rzadziej niż raz na 5 lat, Sprawdzenie doraźne oraz wnioskowane przez GIODO wykonuje sie niezwłocznie.

ABI podejmuje czynności niezbędne do sprawdzenia zgodności przetwarzania danych z ustawą, a więc odbiera wyjaśnienia, sporządza kopie zapasowe udostępnionych mu dokumentów bądź nośników, zapisuje obrazy – w systemie informatycznym i dokumentuje wykonane czynności elektronicznie bądź papierowo. ABI ma prawną możliwość działania w celu weryfikacji zgodności z ustawą na wniosek osoby trzeciej, Spostrzeżenia, wnioski i uwagi ABI umieszcza w sprawozdaniu, z którym zapoznaje ADO, poucza i instruuje osobę odpowiedzialna za nieprawidłowości.

3. Rozporządzenie Ministra Administracji I Cyfryzacji z dnia 11 maja 2015 r. w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbiorów danych (Dz. U. z dnia 25 maja 2015 r.)

Jednym z najważniejszych ustawowych zadań ABI jest prowadzenie rejestru zbiorów danych osobowych. Rozporządzenie określa zasady prowadzenia takiego rejestru i do najważniejszych elementów zalicza:  informacje dotyczące każdego zbioru – od nazwy zbioru po informacje o zasadach i sposobach przekazywania danych do państw trzecich,  datę wpisu zbioru i daty kolejnych aktualizacji wpisów