Dane osobowe Danymi osobowymi są wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osobą możliwą.

Slides:



Advertisements
Podobne prezentacje
AKTUALIZACJA STANU PRAWNEGO W ZAKRESIE KONTROLI WYMOGÓW I KONTROLI IDENTYFIKACJI I REJESTRACJI ZWIERZĄT Puławy, ; r.;
Advertisements

SI CEPiK Przekazywanie danych o badaniach do
Plan gospodarowania wodami – harmonogram i planowane prace
Katowice, dnia 2 października 2012 roku
AWANS ZAWODOWY NAUCZYCIELI
Kompleksowe zarządzanie bezpieczeństwem informacji
Michał Sztąberek iSecure Sp. z o.o.
Platforma A2A PA2A.
Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych
Ocena ryzyka zawodowego Narzędzie do poprawy warunków pracy
Zasady udzielania pomocy publicznej po akcesji Polski do Unii Europejskiej.
Eksploatacja zasobów informatycznych przedsiębiorstwa
Internet 2006: rozwój e-commerce
Polskie przepisy dotyczące tworzenia i funkcjonowania EUWT
Aktualne zagadnienia prawne.
Środki bezpieczeństwa
PAŃSTWOWA INSPEKCJA SANITARNA
1. Założenia do przygotowania Strategii Inwestycyjnej Wydział Rozwoju Gospodarczego Wrocław, 2 czerwca 2009.
SYSTEM ODSYŁANIA SPRAW MIEDZY KOMISJĄ EUROPEJSKĄ A ORGANAMI OCHRONY KONKURENCJI PAŃSTW CZŁONKOWSKICH JAKO ELEMENT WSPÓŁPRACY ORGANÓW KRAJOWYCH I UNIJNYCH.
Innowacje pedagogiczne w przedszkolach
Usługi BDO - odpowiedź na realne potrzeby rynku
ZASADY PRZEPROWADZANIA KONTROLI
I PODSTAWOWE POJĘCIA Nauka o ochronie danych osobowych posługuje się własnym aparatem pojęciowym innym niż pozostałe dziedziny prawa.
OCHRONA DANYCH OSOBOWYCH Dr hab. Mariusz Jagielski
VIII. POSTĘPOWANIE ADMINISTRACYJNE Zmierza do wymuszenia na administratorze realizacji obowiązków nałożonych prawem.
Aleph Raporty, raport danych osobowych, ubytki OPAC.
KONTROLA ZARZĄDCZA - 1 Kontrolę zarządczą stanowi ogół
1 Nowe przepisy unijne Dyrektywa z roku 2014 w sprawie ustawowych badań rocznych sprawozdań finansowych i skonsolidowanych sprawozdań finansowych Maria.
Zgłaszanie prac geodezyjnych
Ochrona danych osobowych
Przygotowali: Anna Farion Dariusz Droździel
niezawodności Z problemem jakości systemów informacyjnych wiąże się problem zapewnienia odpowiedniej niezawodności ich działania.
Ocena jakości systemów informacyjnych (aspekt eksploatacyjny)
SYSTEM ZARZĄDZANIA BEZPIECZEŃSTWEM INFORMACJI- wymagania normy ISO 27001:2007 Grażyna Szydłowska.
Eksploatacja zasobów informatycznych przedsiębiorstwa.
USTAWA z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych
DOKUMENTACJA OCHRONY DANYCH OSOBOWYCH dr hab. Mariusz Jagielski
Kontrola zarządcza w jednostce budżetowej
Wybrane zagadnienia Rozporządzenie Parlamentu Europejskiego i Rady
SYSTEM ZARZĄDZANIA KRYZYSOWEGO Starostwo Powiatowe w Wągrowcu
System ochrony danych osobowych a System zarządzania bezpieczeństwem informacji - w kontekście Rozporządzenia o Krajowych Ramach Interoperacyjności i normy.
KONSUMENT na aukcji internetowej Michał Herde Federacja Konsumentów.
Podkomitet Monitorujący ds. równoważnego rozwoju Maria Manelska Urząd Marszałkowski Województwa Kujawsko-Pomorskiego Departament Wdrażania Regionalnego.
ZAMYKANIE SKŁADOWISK ODPADÓW NIESPEŁNIAJĄCYCH WYMAGAŃ.
Rada szkoleniowa „Cyfrowe bezpieczeństwo danych osobowych w szkole”
NAJWAŻNIEJSZE AKTY PRAWNE WYKONAWCZE DO USTAWY Z 29 SIERPNIA 1997 ROKU O OCHRONIE DANYCH OSOBOWYCH.
Portal Ogłoszeń ARiMR 10 maja 2017 r. Warszawa.
Zasady zgłaszania innowacji pedagogicznej w kontekście
Rozporządzenie Ministra Edukacji Narodowej z dnia 27 października 2009 r. w sprawie wymagań, jakim powinna odpowiadać osoba zajmująca stanowisko dyrektora.
TRANSPORTOWY DOZÓR TECHNICZNY
Departament Rozwoju Regionalnego i Funduszy Europejskich
Ochrona danych osobowych
O ochronie danych osobowych
Szkolenie 12 września 2017 roku Prowadzący: Grażyna Kawczyńska
Co się zmienia w systemie ochrony danych osobowych w świetle RODO
Prawne aspekty gromadzenia danych monitoringu wizyjnego
Tomasz Soczyński Zastępca Dyrektora DIF BIURO GIODO
Ochrona danych osobowych a obsługa incydentu
Włącznie inspektora ochrony danych w proces zarządzania projektami
DZIAŁANIA GRUPY ROBOCZEJ ART.29
Przetwarzanie danych osobowych - dokumentacja
RODO Rafał Kiełkowski Wiceprezes Okręgowej Rady Lekarskiej
Zmiany związane z wejściem w życie Rozporządzenia o Ochronie Danych Osobowych (RODO) stosowane od dnia r.
ZEZWOLENIA NA PRACĘ ORAZ POBYT I PRACĘ W WOJEWÓDZTWIE LUBUSKIM
przedstawiciela Wielkopolskiego Kuratora Oświaty
POMORSKI UNIWERSYTET MEDYCZNY W SZCZECINIE
Prawo ubezpieczeń gospodarczych - Ramy Prawne
Ochrona informacji (wykład 3-4 ochrona danych osobowych – zasady ochrony, obowiązki administratora, Inspektor ochrony danych) Konsulting Prawny.
Portal Ogłoszeń ARiMR 10 maja 2017 r. Warszawa.
OCHRONA DANYCH OSOBOWYCH Andrzej Rybus-Tołłoczko
Zapis prezentacji:

Dane osobowe Danymi osobowymi są wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne 4

Privacy by Design - paradygmat nowoczesnej gospodarki

Czy ktoś na serio podchodzi do prywatności i ochrony danych osobowych? Krótki test W wolnej chwili proszę wpisać w wyszukiwarkę Google imię i nazwisko dowolnej osoby. Np. Jan Kochanowski 6

Kolejny przykład (zdarzyło się w 2016 roku) Informacja o naruszeniu danych osobowych XXX Szanowni Państwo, niezwłocznie informujemy, że 7 lipca 2016 roku strona internetowa ZZZZ.pl została zaatakowana przez hakerów. Doszło do naruszenia danych osobowych, które przekazali Państwo poprzez formularze na stronie ZZZZ.pl Pragniemy pokreślić, że dane Klientów oraz firm współpracujących są zabezpieczone przez ekspertów Spółki, których wspomaga dodatkowy, wysoko wykwalifikowany, zewnętrzny zespół doradczy. Hasła i loginy do portalu samoobsługowego ZZZZOnline są bezpieczne, dlatego nie ma konieczności podejmowania żadnych dodatkowych działań ze strony Klientów.   Informacja o naruszeniu danych osobowych W wykonaniu obowiązku określonego w art. 174a ust. 3 oraz ust. 8 ustawy z dnia 16 lipca 2004 r. – prawo telekomunikacyjne tj. z dnia 10 stycznia 2014 r. (Dz.U. z 2014 r. poz. 243 ze zm.), przekazujemy następujące informacje: 7 lipca 2016 r., o godz. 11:03 przeprowadzono atak hakerski na serwis zzzz.pl. 7

Czym jest EU GDPR? Komisja Europejska zmodernizowała legislację 'data protection' zastępuje dyrektywę EU Data Protection Directive 95/46 EC publikacja rozporządzenia GDPR nastąpiła w maju 2016r. obowiązująca wszystkie kraje Unii Europejskiej oraz globalne przedsiębiorstwa i organizacje przechowujące dane obywateli Unii GDPR (General Data Protection Regulation) – nowa era kontroli prywatności i egzekwowania zgodności rozszerza definicję danych osobowych narzuca wymóg ochrony/zabezpieczania PII (Personally Identifiable Information), PHI (Protected Health Information) i PCI organizacje mają czas do maja 2018 na wdrożenie zgodności znaczące kary za brak zgodności (do 4% przychodów firmy / €20M) 8

General Data Protection Regulation (GDPR) Główne zmiany wprowadzenie stanowiska Data Protection Officer (odpowiadającego mniej więcej obecnemu polskiemu Administratorowi Bezpieczeństwa Informacji / ABI) Zwiększona odpowiedzialność dot. powiadamiania o naruszeniu bezpieczeństwa 'Privacy by design' oraz 'privacy by default' Prawo do bycia zapomnianym oraz przenośność danych Jeden zestaw reguł i europejski regulator/data protection authority 9

wybór, inwestycje, wdrożenia Wymogi GDPR - wyzwanie dla nas wszystkich 2015 2016 2017 2018 2019 Maj Wymagane uzyskanie zgodności Listopad: ostateczna wersja GDPR zgłoszona pod obrady Maj GDPR opublikowany wybór, inwestycje, wdrożenia Utrzymywanie i rozwój 10

Wyzwania związane z GDPR Określenie/zrozumienie zakresu “Personally Identifiable Information/PII” Stosowanie czasów retencji dla danych osobowych i kontaktowych Wykonanie oceny Data Protection Impact Assessments Posiadanie formalnej/jednoznacznej zgody użytkownika Realizacja prawa “right to erasure” (prawo do zapomnienia) dla danych osobowych Obowiązkowe informowanie o naruszeniach prywatności Aktywne zarządzanie wielkimi i rozproszonymi źródłami danych (“Data Lake”) 11

Zmiana podejścia wymuszona przez GDPR Obecnie Wymagane przez GDPR / RODO Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024 ze zm.): Zmiana hasła, następuje nie rzadziej niż co 30 dni. Hasło służące do uwierzytelniania użytkowników składa się co najmniej z 8 znaków, zawiera małe i wielkie litery oraz cyfry lub znaki specjalne (dotyczy podwyższonego poziomu bezpieczeństwa). Do ochrony danych osobowych na komputerach przenośnych stosowane są środki ochrony kryptograficznej. Itd.. Ocena stopnia bezpieczeń-stwa Środki techniczne i organizacyj-ne Odpowiedni poziom bezpieczeństwa

Ocena stopnia bezpieczeństwa 18 October 2017 Ocena stopnia bezpieczeństwa Odpowiedni poziom bezpieczeństwa Ryzyko nieuprawnionego dostępu/ujawnienia Ryzyko modyfikacji Ryzyko zniszczenia/ utraty HP Confidential

Charakter, zakres, kontekst i cele przetwarzania 18 October 2017 Dobór środków organizacyjnych i technicznych cz. 1 Stan wiedzy Koszt wdrożenia Charakter, zakres, kontekst i cele przetwarzania Ryzyko naruszenia praw lub wolności Prawdopodobieństwo wystąpienia Waga zagrożenia HP Confidential

Dobór środków organizacyjnych i technicznych cz. 2 18 October 2017 Dobór środków organizacyjnych i technicznych cz. 2 pseudonimizacja i szyfrowanie danych osobowych; zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania; zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego; regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania. HP Confidential

Alternatywne sposoby zapewnienia odpowiedniego stopnia bezpieczeństwa Zatwierdzony kodeks postępowania Cel: pomoc we właściwym stosowaniu RODO - z uwzględnieniem specyfiki różnych sektorów dokonujących przetwarzania oraz szczególnych potrzeb mikroprzedsiębiorstw oraz małych i średnich przedsiębiorstw Zatwierdzony mechanizm certyfikacji Cel: świadczyć o zgodności z RODO operacji przetwarzania prowadzonych przez administratorów i podmioty przetwarzając

Zgłoszenie naruszenia Incydent Wyłączenie: „chyba że administrator jest w stanie wykazać zgodnie z zasadą rozliczalności, że jest mało prawdopodobne, by naruszenie to mogło powodować ryzyko naruszenia praw lub wolności osób fizycznych”. Zgłoszenie Do: Właściwy organ nadzorczy Termin: bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia Dokumentacja Zakres: Okoliczności Skutki Podjęte działania