Przetwarzanie danych osobowych - dokumentacja

Slides:



Advertisements
Podobne prezentacje
Dr hab. Fryderyk Zoll, prof. UJ i ALK
Advertisements

Kompleksowe zarządzanie bezpieczeństwem informacji
PODSYSTEM MONITOROWANIA EUROPEJSKIEGO FUNDUSZU SPOŁECZNEGO - PEFS
Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych
Eksploatacja zasobów informatycznych przedsiębiorstwa
Mirosław BarszczWarszawa, 7 lipca 2005 r. Jerzy Martini Piotr Maksymiuk Marek Wojda Faktura elektroniczna Elektroniczna korespondencja z organami podatkowymi.
Aktualne zagadnienia prawne.
Szkolenie w zakresie ochrony danych osobowych
REJESTR DZIAŁAŃ RATOWNICZYCH
Środki bezpieczeństwa
OCHRONA DANYCH OSOBOWYCH Dr hab. Mariusz Jagielski
PAŃSTWOWA INSPEKCJA SANITARNA
Ochrona danych osobowych
OCHRONA DANYCH OSOBOWYCH Dr hab. Mariusz Jagielski
PRAWO ADMINISTRACYJNE
Dyrektor Departamentu Orzecznictwa, Legislacji i Skarg
Usługi BDO - odpowiedź na realne potrzeby rynku
USTAWA z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych
PROGRAM SZKOLENIA Polskie Prawo Budowlane:
VIII. POSTĘPOWANIE ADMINISTRACYJNE Zmierza do wymuszenia na administratorze realizacji obowiązków nałożonych prawem.
Założenia do projektu ustawy o czasie pracy maszynistów
Ochrona danych osobowych i informacji niejawnych
KONTROLA ZARZĄDCZA - 1 Kontrolę zarządczą stanowi ogół
Zgłaszanie prac geodezyjnych
USTAWA z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych
OCHRONA DANYCH OSOBOWYCH Dr hab. Mariusz Jagielski
ETAPY WDROŻENIE SYSTEMU ELEKTRONICZNEGO ZARZĄDZANIA DOKUMENTACJĄ
Przygotowali: Anna Farion Dariusz Droździel
2014 Rejestr Usług Rozwojowych - aktualny stan prac Warszawa, r. Rafał Kamiński.
Ergonomia procesów informacyjnych
Ocena jakości systemów informacyjnych (aspekt eksploatacyjny)
SYSTEM ZARZĄDZANIA BEZPIECZEŃSTWEM INFORMACJI- wymagania normy ISO 27001:2007 Grażyna Szydłowska.
Eksploatacja zasobów informatycznych przedsiębiorstwa.
Poświadczanie dokumentów w KPA
Moduł e-Kontroli Grzegorz Dziurla.
Dokumenty jako dowód w postępowaniu administracyjnym
DOKUMENTACJA OCHRONY DANYCH OSOBOWYCH dr hab. Mariusz Jagielski
POLITYKA BEZPIECZEŃSTWA. Podstawa prawna: §3 i §4 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r., w sprawie dokumentacji.
OCHRONA DANYCH OSOBOWYCH NA UCZELNI
PODZIAŁ KONTROLI W SK I ISWK, ICH CECHY CHARAKTERYSTYCZNE I PLANOWANIE KONTROLI Marek Gall Wydział Inspekcji WIOŚ w Warszawie Październik 2013r. 1.
1 © copyright by Piotr Bigosiński DOKUMENTACJA SYSTEMU HACCP. USTANOWIENIE, PROWADZENIE I UTRZYMANIE DOKUMENTACJI. Piotr Bigosiński 1 czerwiec 2004 r.
Kontrola zarządcza w jednostce budżetowej
Bezpieczeństwo informacyjne i informatyczne państwa
DOKUMENTACJA OCHRONY DANYCH OSOBOWYCH dr hab. Mariusz Jagielski
Wybrane zagadnienia Rozporządzenie Parlamentu Europejskiego i Rady
System ochrony danych osobowych a System zarządzania bezpieczeństwem informacji - w kontekście Rozporządzenia o Krajowych Ramach Interoperacyjności i normy.
Rada szkoleniowa „Cyfrowe bezpieczeństwo danych osobowych w szkole”
OCHRONA INFORMACJI NIEJAWNYCH podstawowe pojęcia i wymagania Warszawa, 15 marca 2016 r. mgr inż. Zbysław Antoni KUCZA.
NAJWAŻNIEJSZE AKTY PRAWNE WYKONAWCZE DO USTAWY Z 29 SIERPNIA 1997 ROKU O OCHRONIE DANYCH OSOBOWYCH.
„ Procedury Urzędu Marszałkowskiego – mechanizmy funkcjonowania” Bartosz Szymański Naczelnik Wydziały Zarządzania PROW Urząd Marszałkowski Województwa.
Zasady zgłaszania innowacji pedagogicznej w kontekście
RODO – co czeka przedsiębiorców?
MINISTERSTWO OBRONY NARODOWEJ
Szkolenie 12 września 2017 roku Prowadzący: Grażyna Kawczyńska
Co się zmienia w systemie ochrony danych osobowych w świetle RODO
OCHRONA DANYCH OSOBOWYCH
CENTRUM KSZTAŁCENIA PODYPLOMOWEGO PIELĘGNIAREK I POŁOŹNYCH
Włącznie inspektora ochrony danych w proces zarządzania projektami
RODO Rafał Kiełkowski Wiceprezes Okręgowej Rady Lekarskiej
Zmiany związane z wejściem w życie Rozporządzenia o Ochronie Danych Osobowych (RODO) stosowane od dnia r.
Dyrektorzy Miejskich Przedszkoli
Ochrona danych osobowych w placówce oświatowej
Ochrona danych osobowych w projektach współfinansowanych ze środków EFS w perspektywie finansowanej Trener: dr Bartosz Mendyk Szczecin, 20 czerwiec.
Samorządowa Elektroniczna Platforma Informacyjna (SEPI) Kompleksowe rozwiązanie służące do udostępniania informacji i usług publicznych.
POMORSKI UNIWERSYTET MEDYCZNY W SZCZECINIE
Ochrona informacji (wykład 3-4 ochrona danych osobowych – zasady ochrony, obowiązki administratora, Inspektor ochrony danych) Konsulting Prawny.
Ochrona danych osobowych w projektach współfinansowanych ze środków EFS w perspektywie finansowanej Trener: dr Bartosz Mendyk Szczecin, 19 czerwiec.
OCHRONA DANYCH OSOBOWYCH Andrzej Rybus-Tołłoczko
Klauzula informacyjna
Ochrona danych osobowych w szkolnictwie Trener: Aleksandra Piotrowska
Zapis prezentacji:

Przetwarzanie danych osobowych - dokumentacja RODO – wdrożenie od 25 maja 2018r.

Zmiana podejścia do ochrony danych osobowych odejście od schematów i sztywnych reguł, administrator ochrony danych (ADO) – odpowiada za tworzenie wewnętrznych procedur, działań praktycznych w celu realizacji zadania – ochrona danych osobowych, opracowanie i wdrożenie mechanizmów oceny ryzyka występującego podczas realizacji procesu - przetwarzanie danych osobowych, bieżący monitoring i ocena ryzyk, zasada rozliczalności – wykazanie zgodności przetwarzania danych osobowych z obowiązującym prawem.

Dokumentacja Rejestr czynności przetwarzania danych (RCPD) – obowiązkowy. Co warto prowadzić (wprowadzić)?: Polityka ochrony danych osobowych (obecnie Polityka bezpieczeństwa – wymaga przeglądu i wnikliwej analizy), Instrukcja zarządzania systemami informatycznymi (obecnie prowadzona, wymaga przeglądu), Umowa powierzenia przetwarzania danych (jeśli istnieje konieczność przekazania części zadania innemu podmiotowi/ jednostce – np. CUW – rachuba, Klauzula dotycząca obowiązków informacyjnych.

Dokumentacja c.d. Upoważnienia, ewidencje, klauzule zachowania poufności, Instrukcja zgłaszania incydentów naruszenia danych osobowych, wzór zgłoszenia incydentu do organu nadzorczego, procedura postępowania, Obowiązki prowadzenia dokumentacji w związku z realizacją zasady rozliczalności. Jednostka oświatowa przetwarza dane osobowe w związku z realizacją celów wynikających z ustaw: Karta Nauczyciela; Kodeks pracy; Prawo oświatowe; Kodeks postępowania administracyjnego; o finansowaniu zadań oświatowych; o systemie oświaty; wprowadzającej przepisy ustawy- Prawo oświatowe; a także innych ustaw, jeśli w związku z realizacją celów w nich zawartych przetwarzane są dane osobowe osób fizycznych.

Rejestr czynności przetwarzania danych osobowych określenie podstawy prawnej (celów) przetwarzania danych osobowych, określenie właściciela procesu (AOD), podział osób, których dane są przetwarzane, na kategorie, określenie rodzaju przetwarzanych danych osobowych dla każdej kategorii osób, określenie kategorii odbiorców, opisanie sposobu prowadzenia RCPDO – papierowo, elektronicznie, określenie sposobu pozyskiwania danych – bezpośrednio, z rejestrów - np. wykaz uczniów zamieszkujących obwód szkoły), okres przechowywania danych, ogólny opis zastosowanych środków bezpieczeństwa, w tym dokumentacja dotycząca zabezpieczeń, transfer danych do państwa trzeciego – inne niż państwa UE – okoliczności zasady (…), data ostatnie aktualizacji, w tym przeglądu Rejestru

Rejestr czynności przetwarzania danych osobowych – c.d. Rejestr może mieć formę papierową lub elektroniczną . Może być prowadzony jako tabela, gdzie kolumny będą nazwane wg zakresu czynności podejmowanych w związku z przetwarzaniem i ochroną danych, zaś wiersze to osoby (w podziale na kategorie), których dane osobowe AOD przetwarza. Powinien być jasny i czytelny, na bieżąco weryfikowany, poddawany monitoringowi i ewaluacji, stąd konieczność umieszczenia daty ostatniej modyfikacji. Nie można i nie należy zakładać, że Rejestr będzie w pełni gotowy i w całości uzupełniony na dzień 25.05.2018r. Nie mniej data jego założenia to 25.05.2018r. Rejestr to dokument, który musi być na bieżąco monitorowany i modyfikowany.

Polityka Ochrony Danych Osobowych (Polityka Bezpieczeństwa ODO) Wprowadzenie w życie przepisów RODO nie może i nie oznacza, że dotychczasowa Polityka Bezpieczeństwa Ochrony Danych jest całkowicie bezużytecznym dokumentem. Wiele zapisów PODO można wykorzystać: wykaz definicji; cel przetwarzania danych; zakres przetwarzania danych; ewidencja zbiorów danych osobowych (inwentaryzacja); zasady przetwarzania DO, w tym upoważnienia i ewidencja osób upoważnionych, procedury, znajomość regulacji wewnętrznych, zasada tajności (niejawności), powierzenia przetwarzania DO, udostępnianie DO, aktualizacja DO; opis organizacji ochrony danych (wskazanie AOD, IODO, użytkowników DO, kadry kierowniczej jednostki); wykaz i opis budynku (pomieszczeń); opis środków organizacyjnych, technicznych niezbędnych do ochrony DO; opis zdarzeń naruszających DO (opis sytuacji w których AOD może stwierdzić, że doszło do naruszenia DO); opis środków organizacyjnych i technicznych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzania danych osobowych (np. proces pseudonimizacji, analiza ryzyka naruszenia ODO, przeglądy bezpieczeństwa itp). PODO jest wewnętrznym dokumentem organizacji.

Polityka ochrony Danych Osobowych c.d. Zasady postępowania w sytuacji naruszenia Bezpieczeństwa Danych Osobowych: opis zasad ogólnych – np. szczegółowy opis raportu zgłoszenia naruszenia DO, obowiązki AOD w sytuacji naruszenia DO, obowiązki IOD w sytuacji naruszenia DO, opis działań korygująco – naprawczych w przypadku naruszenia DO, wykaz załączników – wzory, podsumowanie.

Instrukcja zarządzania systemami informatycznymi - IZSI dokument nie jest obowiązkowy, zawiera zbiór zasad i procedur ochrony DO w systemach informatycznych, IZSI, podobnie jak Polityka ochrony danych osobowych, nie mogą być udostępniane osobom trzecim. To wewnętrzny dokument organizacji, adresowany do użytkowników przetwarzających dane osobowe w systemach informatycznych, zawiera m.in.: procedury nadawania uprawnień do systemów informatycznych przetwarzających DO; opis metod i środków uwierzytelniania dostępu; procedury tworzenia i przechowywania kopii zapasowych; sposób, miejsce i okres przechowywania nośników informacji; sposób zabezpieczenia systemu informatycznego; opis procedur wykonywania przeglądów i konserwacji.

Umowa powierzenia przetwarzania danych osobowych Dotyczy sytuacji, w której podmiot zewnętrzny (inna jednostka organizacyjna np. CUW) przetwarza w imieniu AOD dane osobowe, w związku z realizacją powierzonych zadań (płace). Podmiot zewnętrzny przetwarza DO na polecenie AOD, zgodnie z celami i sposobem przetwarzania DO przyjętymi przez AOD. Umowa powierzenia powinna mieć formę pisemną. AOD powinien zweryfikować podmiot, któremu powierza DO. Podmiot przetwarzający dane powinien zagwarantować wdrożenie odpowiednich środków technicznych i organizacyjnych w celu ochrony DO. Podmiot, któremu AOD powierzył to zadanie przetwarza dane wyłącznie w zleconym zakresie, co wynika z umowy powierzenia. Jeśli podmiot wykorzysta dane niezgodnie z umową, to stanie się dla tych danych AOD. Umowa określa: przedmiot przetwarzania danych; czas trwania procesu, zapewnienie o zachowaniu tajemnicy; zapewnienie, że podmiot przetwarzający podejmie wszelkie środki organizacyjne i techniczne w celu ochrony DO; opis postępowania po zakończeniu procesu.

Klauzula dotycząca obowiązków informacyjnych katalog informacji, jakie należy przekazać osobie, której dane są przetwarzane został rozszerzony, o czym wspomniano w poprzedniej prezentacji, zalecana jest forma pisemna klauzuli, zawartość klauzuli: tożsamość AOD; dane kontaktowe IOD; cel przetwarzania DO, w tym podstawy prawne; informacja o powierzeniu (jeśli istnieje); sposobie transferu danych do państwa trzeciego (poza UE); opis zabezpieczeń, możliwości uzyskania kopii, miejscu udostępniania DO; okres przechowywania; prawo do wglądu, sprostowania, usunięcia (z uwzględnieniem przepisów uPo), ograniczenia przetwarzania DO; informacja dot. przenoszenia DO (jeśli może mieć miejsce); prawo wniesienia skargi do organu nadzorczego. Jeśli dane są zbierane z innego źródła (np. wykaz uczniów z obwodu) klauzula zawiera informację - kategorie pozyskiwanych danych i źródła ich pochodzenia, opracowana w sposób zwięzły, jasnym, zrozumiałym językiem.

Upoważnienia do przetwarzania DO upoważnienie do przetwarzania danych DO musi mieć formę pisemną, należy określić jakich czynności dotyczy upoważnienie przetwarzania DO, jakich zbiorów, czas obowiązywania upoważnienia, upoważnienie wydaje AOD lub IOD, przetwarzanie danych odbywa się zawsze w imieniu AOD, upoważnienie należy umieścić w aktach osobowych upoważnionego pracownika. A zatem nic nowego

Instrukcja zgłaszania incydentów Incydent naruszenie DO do UODO zgłasza AOD w przeciągu 72 godz. od zajścia. Nie należy zakładać, że incydent nie będzie zgłoszony, chociaż RODO przewiduje wyłączenia. Niezbędne elementy zgłoszenia: opis naruszenia DO (również rodzaj danych/ kategoria, ilość osób …), dane IOD, opis przewidywanych konsekwencji w związku z naruszeniem DO, opis proponowanych działań korygująco – naprawczych, AOD prowadzi rejestr naruszeń. proces powiadomienia osoby, której dane zostały naruszone.

Zasada rozliczalności art. 5 RODO AOD wdraża środki gwarantujące ochronę danych osobowych, czynności związane z przetwarzaniem i ochroną danych osobowych są dokumentowane, przestrzeganie przepisów ochrony danych osobowych jest obowiązkiem AOD, Należy pamiętać, że brak przepisów krajowych utrudnia dopracowanie procesu ochrony danych osobowych, również w odniesieniu do przepisów regulowanych w ustawach szczególnych i przetwarzanych w związku z realizacją zadań określonych w tych ustawach. Obowiązki AOD zostały Państwu przedstawione w poprzedniej prezentacji.

Grażyna Burek