Ochrona informacji (wykład 3-4 ochrona danych osobowych – zasady ochrony, obowiązki administratora, Inspektor ochrony danych) Konsulting Prawny.

Slides:



Advertisements
Podobne prezentacje
Kompleksowe zarządzanie bezpieczeństwem informacji
Advertisements

Zarys formalno – prawnych aspektów przetwarzania informacji niejawnych w systemach teleinformatycznych Autor: Adam ZIĘBA JAWNE.
Krajowy System Informatyczny (KSI) – rola KSI w kontekście działań kontrolnych i procesu informowania o nieprawidłowościach,
Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych
Ocena ryzyka zawodowego Narzędzie do poprawy warunków pracy
Normy praktyki zawodowej
Mirosław BarszczWarszawa, 7 lipca 2005 r. Jerzy Martini Piotr Maksymiuk Marek Wojda Faktura elektroniczna Elektroniczna korespondencja z organami podatkowymi.
Aktualne zagadnienia prawne.
REJESTR DZIAŁAŃ RATOWNICZYCH
OCHRONA DANYCH OSOBOWYCH Dr hab. Mariusz Jagielski
PAŃSTWOWA INSPEKCJA SANITARNA
Ochrona danych osobowych: wybrane aspekty
Usługi BDO - odpowiedź na realne potrzeby rynku
Przestrzeganie przepisów bhp,
Justyna Gryz Jacek Losiak Michał Borsuk Adam Dargacz
USTAWA z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych
VIII. POSTĘPOWANIE ADMINISTRACYJNE Zmierza do wymuszenia na administratorze realizacji obowiązków nałożonych prawem.
dr hab. inż. Alina Matuszak-Flejszman, prof. nadzw. UEP
Ochrona danych osobowych i informacji niejawnych
KONTROLA ZARZĄDCZA - 1 Kontrolę zarządczą stanowi ogół
Ochrona danych osobowych i informacji niejawnych
1 Nowe przepisy unijne Dyrektywa z roku 2014 w sprawie ustawowych badań rocznych sprawozdań finansowych i skonsolidowanych sprawozdań finansowych Maria.
OCHRONA DANYCH OSOBOWYCH Dr hab. Mariusz Jagielski
Eksploatacja zasobów informatycznych przedsiębiorstwa.
Ocena jakości systemów informacyjnych (aspekt eksploatacyjny)
SYSTEM ZARZĄDZANIA BEZPIECZEŃSTWEM INFORMACJI- wymagania normy ISO 27001:2007 Grażyna Szydłowska.
Eksploatacja zasobów informatycznych przedsiębiorstwa.
Postępowanie sądowoadministracyjne – wybrane przepisy
DOKUMENTACJA OCHRONY DANYCH OSOBOWYCH dr hab. Mariusz Jagielski
Monitoring efektów realizacji Projektu PL0100 „Wzrost efektywności działalności Inspekcji Ochrony Środowiska, na podstawie doświadczeń norweskich” Ołtarzew:
Kontrola zarządcza w jednostce budżetowej
Bezpieczeństwo informacyjne i informatyczne państwa
Wybrane zagadnienia Rozporządzenie Parlamentu Europejskiego i Rady
SYSTEM ZARZĄDZANIA KRYZYSOWEGO Starostwo Powiatowe w Wągrowcu
Prawa człowieka i systemy ich ochrony
Faza 1: Faza zaprojektowania systemu monitoringu projektu: 1. Inwentaryzacja obietnic złożonych sponsorowi we wniosku - przegląd założeń projektu, opracowanie.
OCHRONA INFORMACJI NIEJAWNYCH podstawowe pojęcia i wymagania Warszawa, 15 marca 2016 r. mgr inż. Zbysław Antoni KUCZA.
Własność intelektualna w projektach 7PR.
NAJWAŻNIEJSZE AKTY PRAWNE WYKONAWCZE DO USTAWY Z 29 SIERPNIA 1997 ROKU O OCHRONIE DANYCH OSOBOWYCH.
Departament Rozwoju Regionalnego i Funduszy Europejskich
RODO – co czeka przedsiębiorców?
Procesy decyzyjne i instytucje UE
Sankcje wadliwych czynności prawnych
TRANSPORTOWY DOZÓR TECHNICZNY
Wydział Prawa, Administracji i Ekonomii
„Nowe” zasady ogólne w k.p.a.
Szkolenie 12 września 2017 roku Prowadzący: Grażyna Kawczyńska
Co się zmienia w systemie ochrony danych osobowych w świetle RODO
Zasada lojalności.
Rządowa administracja zespolona w administracji
Zajęcia niedopuszczalne oraz konflikt interesów
Zasada lojalności.
Prawne aspekty gromadzenia danych monitoringu wizyjnego
Tomasz Soczyński Zastępca Dyrektora DIF BIURO GIODO
Rozporządzenie Parlamentu Europejskiego i Rady Europy o ochronie danych osobowych- zmiany od maja 2018 roku w ochronie danych osobowych.
Włącznie inspektora ochrony danych w proces zarządzania projektami
DZIAŁANIA GRUPY ROBOCZEJ ART.29
Przetwarzanie danych osobowych - dokumentacja
Zmiany związane z wejściem w życie Rozporządzenia o Ochronie Danych Osobowych (RODO) stosowane od dnia r.
Dyrektorzy Miejskich Przedszkoli
Ochrona danych osobowych w projektach współfinansowanych ze środków EFS w perspektywie finansowanej Trener: dr Bartosz Mendyk Szczecin, 20 czerwiec.
POMORSKI UNIWERSYTET MEDYCZNY W SZCZECINIE
Dane osobowe objęte tajemnicami (służbowymi i zawodowymi)
Ochrona danych osobowych w projektach współfinansowanych ze środków EFS w perspektywie finansowanej Trener: dr Bartosz Mendyk Szczecin, 19 czerwiec.
OCHRONA DANYCH OSOBOWYCH Andrzej Rybus-Tołłoczko
Postępowanie sądowoadministracyjne – wybrane przepisy
Klauzula informacyjna
WDROŻENIE WYMAGAŃ RODO
Ochrona danych osobowych w projektach współfinansowanych ze środków EFS w perspektywie finansowanej Trener: dr Bartosz Mendyk Koszalin, 17 czerwiec.
Ochrona danych osobowych w szkolnictwie Trener: Aleksandra Piotrowska
Zapis prezentacji:

Ochrona informacji (wykład 3-4 ochrona danych osobowych – zasady ochrony, obowiązki administratora, Inspektor ochrony danych) Konsulting Prawny i Gospodarczy prof. dr hab. Mariusz Jabłoński dr Krzysztof Wygoda Uniwersytet Wrocławski Wydział Prawa, Administracji i Ekonomii Katedra Prawa Konstytucyjnego

Zasady ochrony danych wynikają głownie z art Zasady ochrony danych wynikają głownie z art. 5 RODO, są one jednak również rekonstruowane na podstawie zawartych w nim praw jednostek , których dane dotyczą i uprawnień krajowego organu nadzorczego (w Polsce rolę takiego organu pełni Prezes UODO) Zasady ochrony danych zakładają że dane muszą być: a) przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą („zgodność z prawem, rzetelność i przejrzystość”); b) zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami; dalsze przetwarzanie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych nie jest uznawane w myśl art. 89 ust. 1 za niezgodne z pierwotnymi celami („ograniczenie celu”); c) adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane („minimalizacja danych”); d) prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane („prawidłowość”);

e) przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane; dane osobowe można przechowywać przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych na mocy art. 89 ust. 1, z zastrzeżeniem że wdrożone zostaną odpowiednie środki techniczne i organizacyjne wymagane na mocy niniejszego rozporządzenia w celu ochrony praw i wolności osób, których dane dotyczą („ograniczenie przechowywania”); f) przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („integralność i poufność”). Należy pamiętać że administrator jest odpowiedzialny za realizację powyższych 6 zasad i musi być w stanie wykazać ich przestrzeganie („rozliczalność”).

Obowiązek zabezpieczenia procesów przetwarzania spoczywa na administratorze danych. Podstawowym problemem dla administratorów jest zmiana podejścia do ochrony danych jako takiej. Staje się ona, w wymiarze formalnym, prawie całkowicie zależna od woli i możliwości administratorów.  Nie należy jednak zaniedbywać tej strony procesów przetwarzania choćby uwagi na obowiązek wynikający z art.  5 ust. 2 RODO wskazujący, że administrator jest odpowiedzialny za przestrzeganie zasad przetwarzania („zgodność z prawem, rzetelność i przejrzystość”, „ograniczenie celu”, „minimalizacja danych”, „prawidłowość”, „ograniczenie przechowywania”, „integralność i poufność”) i musi być w stanie wykazać ich przestrzeganie („rozliczalność”) 

Proces zabezpieczenia przetwarzania wymaga dokumentowania Proces zabezpieczenia przetwarzania wymaga dokumentowania. Trudności w określeniu zakresu dokumentacji wynikają m.in. z: - konieczności samodzielnego wyboru środków/narzędzi dokumentujących; - braku wykazu i opisu dokumentów; - braku wykazu i opisu procedur; - braku jednoznacznie określonych standardów bezpieczeństwa; - istnienie jedynie ogólnych wskazówek dotyczących tego co dokumentować.

De facto nie istnieje możliwość doprecyzowania zakresu obowiązków administratora na poziomie prawa krajowego powszechnie obowiązującego. Choć motyw (167) wskazuje, że Aby zapewnić jednolite warunki wdrażania niniejszego rozporządzenia, należy powierzyć Komisji uprawnienia wykonawcze, tak jak to przewiduje niniejsze rozporządzenie. Uprawnienia te powinny być wykonywane zgodnie z rozporządzeniem (UE) nr 182/2011. W tym kontekście Komisja powinna rozważyć wprowadzenie szczególnych środków dla mikroprzedsiębiorstw oraz małych i średnich przedsiębiorstw.

Możliwości generalnej konkretyzacji standardów i zasad proceduralno-formalnych występują jednak na płaszczyźnie : - postepowania certyfikującego; - przystąpienia do dobrowolnych zatwierdzonych kodeksów postępowania; - wdrożenia wiążących reguł korporacyjnych; - posługiwania się standardowymi klauzulami umownymi między administratorami a podmiotami przetwarzającymi oraz między podmiotami przetwarzającymi; - wykorzystania znanych technicznych standardów (np. normy ISO z rodziny 27000 i 29000).

Artykuł 24 Obowiązki administratora 1 Artykuł 24 Obowiązki administratora 1. Uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane. 2. Jeżeli jest to proporcjonalne w stosunku do czynności przetwarzania, środki, o których mowa w ust. 1, obejmują wdrożenie przez administratora odpowiednich polityk ochrony danych. (…)

Artykuł 25 Uwzględnianie ochrony danych w fazie projektowania oraz domyślna ochrona danych 1. Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia wynikające z przetwarzania, administrator – zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania – wdraża odpowiednie środki techniczne i organizacyjne, takie jak pseudonimizacja, zaprojektowane w celu skutecznej realizacji zasad ochrony danych, takich jak minimalizacja danych, oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak by spełnić wymogi niniejszego rozporządzenia oraz chronić prawa osób, których dane dotyczą. 2. Administrator wdraża odpowiednie środki techniczne i organizacyjne, aby domyślnie przetwarzane były wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia każdego konkretnego celu przetwarzania.(…)

Artykuł 30 Rejestrowanie czynności przetwarzania 1 Artykuł 30 Rejestrowanie czynności przetwarzania 1. Każdy administrator oraz – gdy ma to zastosowanie – przedstawiciel administratora prowadzą rejestr czynności przetwarzania danych osobowych, za które odpowiadają. (…) 3. Rejestry, (…) mają formę pisemną, w tym formę elektroniczną. 4. Administrator lub podmiot przetwarzający oraz – gdy ma to zastosowanie – przedstawiciel administratora lub podmiotu przetwarzającego udostępniają rejestr na żądanie organu nadzorczego. 5. Obowiązki, (…) nie mają zastosowania do przedsiębiorcy lub podmiotu zatrudniającego mniej niż 250 osób, chyba że przetwarzanie, którego dokonują, może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą, nie ma charakteru sporadycznego lub obejmuje szczególne kategorie danych osobowych, (…) lub dane osobowe dotyczące wyroków skazujących i naruszeń prawa,(...)

W rejestrze czynności przetwarzania (RCP) zamieszcza się wszystkie następujące informacje: a) imię i nazwisko lub nazwę oraz dane kontaktowe administratora oraz wszelkich współadministratorów, a także gdy ma to zastosowanie – przedstawiciela administratora oraz inspektora ochrony danych; b) cele przetwarzania; c) opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych; d) kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych; e) gdy ma to zastosowanie, przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, (…) dokumentacja odpowiednich zabezpieczeń; f)jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych; g)jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1.

Artykuł 32 Bezpieczeństwo przetwarzania 1 Artykuł 32 Bezpieczeństwo przetwarzania 1. Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku: a) pseudonimizację i szyfrowanie danych osobowych; b) zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania; c) zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego; d)regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.(…)

Procedury przetwarzania gwarantują planowość procesów i możliwość ich powtarzalności. Procedury przetwarzania powinny uwzględniać wszystkie czynności, które dotyczą procesu przetwarzania danych w konkretnym celu.  W procedurach przetwarzania powinno ujmować się również czynności poprzedzające samo przetwarzanie danych (procedury przygotowawcze). W procedurach nie powinno zabraknąć procedur realizowanych z uwagi na wolę podmiotów zewnętrznych wobec administratora. Procedury powinny obejmować kontrolę przestrzegania zasad RODO i przyjętych polityk bezpieczeństwa. Nie należy pomijać tworzenia procedur awaryjnych/naprawczych.

Procedury powinny podlegać takim samym regułom dokumentacyjnym jak czynności przetwarzania.  Powinny zostać opracowane (sam proces opracowania też wymaga dokumentacji), przyjęte i wdrożone (oczywiście całość dokumentowana). Następnie należy okresowo kontrolować ich przestrzeganie (jeśli jest taka możliwość procedura powinna dawać możliwość kontroli w oparciu o dowody/dokumenty tworzone w trakcie jej realizacji).

Jedną z kluczowych ról w procesie ochrony danych odgrywa Inspektor Ochrony Danych (IOD), który wypełnia swoje obowiązki określone przez art. 39 ust. 1 RODO. Do jego zadań należy w szczególności: a) informowanie administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy niniejszego rozporządzenia oraz innych przepisów Unii lub państw członkowskich o ochronie danych i doradzanie im w tej sprawie; b) monitorowanie przestrzegania niniejszego rozporządzenia, innych przepisów Unii lub państw członkowskich o ochronie danych oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty; c) udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania zgodnie z art. 35; d) współpraca z organem nadzorczym; e) pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami, o których mowa w art. 36, oraz w stosownych przypadkach prowadzenie konsultacji we wszelkich innych sprawach.

IOD to doradca ADO o specjalnym statusie wynikającym z art IOD to doradca ADO o specjalnym statusie wynikającym z art. 38 RODO, który zakłada, że: 1. Administrator oraz podmiot przetwarzający zapewniają, by IOD był właściwie i niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych. 2. Administrator oraz podmiot przetwarzający wspierają IOD w wypełnianiu przez niego zadań, o których mowa w art. 39, zapewniając mu zasoby niezbędne do wykonania tych zadań oraz dostęp do danych osobowych i operacji przetwarzania, a także zasoby niezbędne do utrzymania jego wiedzy fachowej. 3. Administrator oraz podmiot przetwarzający zapewniają, by IOD nie otrzymywał instrukcji dotyczących wykonywania tych zadań. Nie jest on odwoływany ani karany przez administratora ani podmiot przetwarzający za wypełnianie swoich zadań. Inspektor ochrony danych bezpośrednio podlega najwyższemu kierownictwu administratora lub podmiotu przetwarzającego. 4. Osoby, których dane dotyczą, mogą kontaktować się z IOD we wszystkich sprawach związanych z przetwarzaniem ich danych osobowych oraz z wykonywaniem praw przysługujących im na mocy niniejszego rozporządzenia. 5. IOD jest zobowiązany do zachowania tajemnicy lub poufności co do wykonywania swoich zadań – zgodnie z prawem Unii lub prawem państwa członkowskiego. 6. IOD może wykonywać inne zadania i obowiązki. Administrator lub podmiot przetwarzający zapewniają, by takie zadania i obowiązki nie powodowały konfliktu interesów.

Powołanie IOD jest tylko warunkowo obligatoryjne. Wskazuję na to art Powołanie IOD jest tylko warunkowo obligatoryjne. Wskazuję na to art. 37 który obliguje do wyznaczenia IOD zawsze gdy: a) przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości; b) główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę; lub c) główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9, lub danych osobowych dotyczących wyroków skazujących i czynów zabronionych, o czym mowa w art. 10. - Grupa przedsiębiorstw może wyznaczyć jednego inspektora ochrony danych, o ile można będzie łatwo nawiązać z nim kontakt z każdej jednostki organizacyjnej. - Jeżeli administrator lub podmiot przetwarzający są organem lub podmiotem publicznym, dla kilku takich organów lub podmiotów można wyznaczyć – z uwzględnieniem ich struktury organizacyjnej i wielkości – jednego inspektora ochrony danych. - Inspektor ochrony danych jest wyznaczany na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia zadań, o których mowa w art. 39. - Inspektor ochrony danych może być członkiem personelu administratora lub podmiotu przetwarzającego lub wykonywać zadania na podstawie umowy o świadczenie usług.

Dziękuję za uwagę