Ochrona danych osobowych w Urzędzie Miasta

Slides:



Advertisements
Podobne prezentacje
Ochrona danych osobowych
Advertisements

Wyciąg z dokumentacji związanej z ochroną danych osobowych uczestników projektu Akademia uczniowska przetwarzanych w ramach zbioru PEFS 2007 i obowiązującej.
Katowice, dnia 2 października 2012 roku
[Main presentation title here – Verdana – 16 font]
Kompleksowe zarządzanie bezpieczeństwem informacji
Michał Sztąberek iSecure Sp. z o.o.
Rodzaje danych i podstawy prawne ich przetwarzania w branży ubezpieczeniowej adw. dr Paweł Litwiński 1 1.
Akty stanu cywilnego.
DECYZJE ADMINISTRACYJNE
Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych
OCHRONA DANYCH OSOBOWYCH
Ochrona danych osobowych
Aktualne zagadnienia prawne.
Niektóre procedury wynikające z przepisów prawa, przy bieżącej aktualizacji ewidencji gruntów i budynków, dokonywanej przez starostów. Zgłoszenia zmiany,
Szkolenie w zakresie ochrony danych osobowych
Środki bezpieczeństwa
Ochrona danych osobowych
OCHRONA DANYCH OSOBOWYCH Dr hab. Mariusz Jagielski
Ochrona danych osobowych w systemie prawa polskiego (1)
Rejestracja Zbioru Danych w GIODO.
BEZPIECZEŃSTWO ELEKTRONICZNYCH DANYCH MEDYCZNYCH
PAŃSTWOWA INSPEKCJA SANITARNA
Ustawa o swobodzie działalności gospodarczej
Ochrona danych osobowych w ngo
Ochrona danych osobowych
PRAWO ADMINISTRACYJNE
Dyrektor Departamentu Orzecznictwa, Legislacji i Skarg
Ochrona danych osobowych: wybrane aspekty
OCHRONA DANYCH OSOBOWYCH Dr hab. Mariusz Jagielski
VIII. POSTĘPOWANIE ADMINISTRACYJNE Zmierza do wymuszenia na administratorze realizacji obowiązków nałożonych prawem.
Aleph Raporty, raport danych osobowych, ubytki OPAC.
Pracownicze dane osobowe
Ochrona danych osobowych i informacji niejawnych
OCHRONA DANYCH OSOBOWYCH Dr hab. Mariusz Jagielski
Ochrona danych osobowych w administracji publicznej
OCHRONA DANYCH OSOBOWYCH W STOSUNKACH PRACY
Ochrona danych osobowych
Szkolenie Ochrona danych osobowych
Dokumenty jako dowód w postępowaniu administracyjnym
ELEMENTY DECYZJI ADMINISTRACYJNEJ
DOKUMENTACJA OCHRONY DANYCH OSOBOWYCH dr hab. Mariusz Jagielski
OCHRONA DANYCH OSOBOWYCH NA UCZELNI
Reglamentacja procesu budowy
Ochrona danych osobowych i konsekwencje jej nieprzestrzegania
Prawa człowieka i systemy ich ochrony
IV edycja programu: „Twoje dane – Twoja sprawa” Częstochowa, dn. 30 października 2013 r.
Dr Jacek Borowicz. PRZEWTARZANIE DANYCH CHRONIONYCH W RAMACH STOSUNKU PRACY  Tajemnica pracodawcy  Tajemnica przedsiębiorcy  Informacje niejawne 
Procedura rejestracji firmy Przed zarejestrowaniem firmy, ale kiedy nabrała ona już określonych kształtów przedsiębiorca powinien:  zdecydować co będzie.
Rada szkoleniowa „Cyfrowe bezpieczeństwo danych osobowych w szkole”
Ochrona danych osobowych w placówce oświatowej Obowiązki, zadania i uprawnienia dyrektora placówki Warsztat specjalistyczny 2014.
NAJWAŻNIEJSZE AKTY PRAWNE WYKONAWCZE DO USTAWY Z 29 SIERPNIA 1997 ROKU O OCHRONIE DANYCH OSOBOWYCH.
Nadzór nad bezpieczeństwem i warunkami pracy. Zewnętrzne i wewnętrzne organa nadzoru PAŃSTWOWA INSPEKCJA PRACY PAŃSTWOWA STRAŻ POŻARNA ZAKŁAD PRACY służba.
Ochrona danych osobowych
XIV Samorządowe Forum Kapitału i Finansów
Pracownicze dane osobowe
O ochronie danych osobowych
Ochrona danych osobowych
Ochrona danych osobowych
O ochronie danych osobowych
Wydział Prawa, Administracji i Ekonomii
OCHRONA DANYCH OSOBOWYCH
OCHRONA DANYCH OSOBOWYCH
Odpowiedzialność za naruszenie przepisów o ochronie informacji niejawnych Ustawa o ochronie informacji niejawnych, mimo uregulowania wielu najistotniejszych.
KTO CHCE TWOJE DANE OSOBOWE?
Przetwarzanie danych osobowych - dokumentacja
RODO Rafał Kiełkowski Wiceprezes Okręgowej Rady Lekarskiej
Zmiany związane z wejściem w życie Rozporządzenia o Ochronie Danych Osobowych (RODO) stosowane od dnia r.
Ochrona danych osobowych w placówce oświatowej
OCHRONA DANYCH OSOBOWYCH Andrzej Rybus-Tołłoczko
Klauzula informacyjna
Zapis prezentacji:

Ochrona danych osobowych w Urzędzie Miasta 3/24/2017 12:43 AM Ochrona danych osobowych w Urzędzie Miasta Michał Sztąberek ©2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

3/24/2017 12:43 AM Agenda szkolenia Najważniejsze pojęcia z zakresu ochrony danych osobowych Przegląd obowiązków administratora danych Pozyskiwanie danych osobowych (zwykłe i wrażliwe) Obowiązki informacyjne Zasady przetwarzania danych osobowych Powierzenie przetwarzania danych osobowych Udostępnianie danych osobowych ©2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Agenda szkolenia Zabezpieczenie danych osobowych 3/24/2017 12:43 AM Agenda szkolenia Zabezpieczenie danych osobowych Rejestracja zbioru w GIODO Systemy informatyczne służące do przetwarzania danych Prawa osób fizycznych Generalny Inspektor Ochrony Danych Osobowych – zasady działania, zadania, kontrola Odpowiedzialność i przegląd przepisów karnych ©2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

3/24/2017 12:43 AM Dane osobowe Dane osobowe - wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań ©2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

3/24/2017 12:43 AM Dane służbowe Przetwarzanie przez pracodawcę danych osobowych pracowników, które wynikają ze stosunku pracy jest dopuszczalne i nie stanowi naruszenia przepisów o ochronie danych osobowych, o ile zakres przetwarzanych danych nie wkracza w sferę prywatności pracownika Takie informacje jak: imię, nazwisko, stanowisko służbowe, służbowy numer telefonu oraz adres e-mail są bezpośrednio powiązane z wykonywaniem obowiązków służbowych i jako takie mogą być wykorzystywane przez pracodawcę bez zgody pracownika Wyrok Sądu Najwyższego z dnia 19 listopada 2003 r. (sygn. I PK 590/02) ©2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Przetwarzanie danych osobowych 3/24/2017 12:43 AM Przetwarzanie danych osobowych Przetwarzanie danych - jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych Powyższe wyliczenie ma charakter przykładowy Przykłady przetwarzania danych: zbieranie aplikacji o pracę, prowadzenie teczek osobowych pracowników UM, wykonywanie czynności na danych osobowych w aplikacji Płatnik, prowadzenie ewidencji ludności, zbieranie danych w Urzędzie Stanu Cywilnego, prowadzenie rejestru podatników podatków lokalnych, zbieranie danych dla celów związanych z rejestracją wyborców ©2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Zbiór danych osobowych 3/24/2017 12:43 AM Zbiór danych osobowych Zbiór danych - każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępny według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie (istnienie cechy albo cech pozwalających na odnalezienie informacji bez potrzeby przeglądania całego zestawu) np. nazwiska ułożone alfabetycznie Zbiór prowadzony jest centralnie, gdy dane zgromadzone zostały (zarówno te na papierze, jak i zamieszczone na serwerze) w jednym pomieszczeniu lub budynku Zbiór prowadzony jest w architekturze rozproszonej (w przypadku przetwarzania danych w systemie informatycznym) np. w sytuacji gromadzenia danych na dwóch serwerach zlokalizowanych w odrębnych budynkach ©2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Zbiór danych osobowych 3/24/2017 12:43 AM Zbiór danych osobowych Zbiory danych przetwarzane przez UM - przykłady: - Ewidencja mieszkańców - Rejestr wyborców - Ochotnicza straż pożarna - Przedpoborowi - Podatki lokalne - Urząd Stanu Cywilnego - Kadry i płace - Kandydaci do pracy w UM ©2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

3/24/2017 12:43 AM Administrator danych Administrator danych (ADO) – organ, jednostka organizacyjna, podmiot lub osoba decydująca o celach i środkach przetwarzania danych osobowych Cele przetwarzania – pewne wartości, dla urzeczywistnienia których dochodzić będzie do przetwarzania danych osobowych Środki przetwarzania – techniczne sposoby przetwarzania danych Administratorem danych jest zawsze sam organ administracji, a nie obsługujący go urząd (zatem ADO będzie prezydent, burmistrz lub wójt) ©2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

3/24/2017 12:43 AM Administrator danych Administratorzy danych ze sfery prawa publicznego mogą decydować o celach i środkach przetwarzania danych jedynie w granicach zakreślonych przez przepis prawa, dla których realizacji następuje ich przetwarzanie (czyli cel przetwarzania będzie wyznaczony w sposób mniej lub bardziej konkretny przez właściwy przepis prawa, a ADO będzie wyłącznie konkretyzował tak wskazany cel, tak by odpowiadał on potrzebom realizowanego przez niego zadania publicznego) ©2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Administrator danych Najważniejsze obowiązki administratora danych: 3/24/2017 12:43 AM Administrator danych Najważniejsze obowiązki administratora danych: Dołożenie szczególnej staranności przy przetwarzaniu danych osobowych Respektowanie praw osób, których dane dotyczą Zabezpieczenie danych osobowych Zgłoszenie zbioru (zbiorów) do GIODO Kontrola przetwarzania i ochrony danych Obowiązki związane z powierzeniem przetwarzania danych ©2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Administrator bezpieczeństwa informacji 3/24/2017 12:43 AM Administrator bezpieczeństwa informacji Administrator bezpieczeństwa informacji (ABI) – osoba nadzorująca przestrzeganie zasad ochrony danych osobowych, w tym w szczególności stosowania odpowiednich środków technicznych i organizacyjnych ©2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

3/24/2017 12:43 AM Odbiorca danych Odbiorca danych - każdy, komu udostępnia się dane osobowe, z wyłączeniem: - osoby, której dane dotyczą, - osoby upoważnionej do przetwarzania danych, - przedstawiciela, o którym mowa w art. 31a UODO, - podmiotu, o którym mowa w art. 31 UODO, - organów państwowych lub organów samorządu terytorialnego, którym dane są udostępniane w związku z prowadzonym postępowaniem ©2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Pozyskiwanie danych osobowych 3/24/2017 12:43 AM Pozyskiwanie danych osobowych Przetwarzanie danych „zwykłych” jest dopuszczalne tylko wtedy, gdy: - osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych, - jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa, - jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą, - jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego, - jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą ©2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Pozyskiwanie danych wrażliwych 3/24/2017 12:43 AM Pozyskiwanie danych wrażliwych Zabrania się przetwarzania danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również danych o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz danych dotyczących skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym Powyższe wyliczenie stanowi katalog zamknięty ©2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Pozyskiwanie danych wrażliwych 3/24/2017 12:43 AM Pozyskiwanie danych wrażliwych Przetwarzanie danych wrażliwych będzie dopuszczalne, jeżeli np.: osoba, której dane dotyczą, wyrazi na to zgodę na piśmie, chyba że chodzi o usunięcie dotyczących jej danych, przepis szczególny innej ustawy zezwala na przetwarzanie takich danych bez zgody osoby, której dane dotyczą, i stwarza pełne gwarancje ich ochrony, przetwarzanie jest niezbędne do wykonania zadań administratora danych odnoszących się do zatrudnienia pracowników i innych osób, a zakres przetwarzanych danych jest określony w ustawie, ©2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Obowiązki informacyjne 3/24/2017 12:43 AM Obowiązki informacyjne Obowiązek informacyjny w przypadku zbierania danych osobowych bezpośrednio od osoby, której one dotyczą [art. 24 UODO] Obowiązek informacyjny w przypadku zbierania danych z innych źródeł [art. 25 UODO] ©2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Obowiązki informacyjne 3/24/2017 12:43 AM Obowiązki informacyjne Obowiązek informacyjny w przypadku zbierania danych osobowych bezpośrednio od osoby, której one dotyczą – wymagane informacje: adres siedziby ADO i jego pełna nazwa cel zbierania danych, a w szczególności o znanych mu w czasie udzielania informacji lub przewidywanych odbiorcach lub kategoriach odbiorców danych prawo dostępu do treści swoich danych oraz ich poprawiania dobrowolność albo obowiązek podania danych, a jeżeli taki obowiązek istnieje, wskazanie jego podstawy prawnej ©2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Obowiązki informacyjne 3/24/2017 12:43 AM Obowiązki informacyjne Obowiązek informacyjny w przypadku zbierania danych osobowych z innych źródeł – wymagane informacje: analogiczne jak w obowiązku informacyjnym wskazanym na poprzednim slajdzie oraz: źródło danych Informacja o możliwości zgłoszenia sprzeciwu na przetwarzanie danych osobowych oraz zgłoszenia umotywowanego żądania zaprzestania przetwarzania danych ©2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Zasady przetwarzania danych 3/24/2017 12:43 AM Zasady przetwarzania danych Zasada celowości: dane muszą być zbierane dla oznaczonych, zgodnych z prawem celów i niepoddawane dalszemu przetwarzaniu niezgodnemu z tymi celami Zasada adekwatności: dane muszą być merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane Zasada czasowości: dane muszą być przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania ©2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Powierzenie przetwarzania danych 3/24/2017 12:43 AM Powierzenie przetwarzania danych Procesor – podmiot zewnętrzny w stosunku do ADO, któremu ADO powierza dane do przetwarzania. Procesor wykonuje czynności na danych osobowych ADO tylko i wyłącznie na w jego imieniu i na jego rzecz Powierzenie następuje na podstawie umowy pomiędzy ADO i procesorem Przykład procesora: firma informatyczna serwisująca oprogramowanie (jeżeli serwisowanie wiąże się z dostępem do danych osobowych) ©2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Powierzenie przetwarzania danych 3/24/2017 12:43 AM Powierzenie przetwarzania danych Umowa powierzenia przetwarzania danych – wymogi formalne (obligatoryjne): umowa sporządzona na piśmie określenie celu powierzenia (np. hosting bazy danych) określenie zakresu powierzenia (np. imię, nazwisko, adres) podjęcie środków zabezpieczających zbiór danych (środki organizacyjne i techniczne) ©2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Powierzenie przetwarzania danych 3/24/2017 12:43 AM Powierzenie przetwarzania danych Umowa powierzenia przetwarzania danych – zapisy opcjonalne (fakultatywne): określenie środków przetwarzania danych forma przekazania danych osobowych (np. na jakim nośniku) informacje na temat zwrotu powierzonych danych kwestie płatności możliwość dalszego powierzenia danych osobowych (subprocesor) odpowiedzialność procesora np. kary umowne uprawnienia kontrolne możliwość przeprowadzenia audytu ©2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Udostępnianie danych osobowych 3/24/2017 12:43 AM Udostępnianie danych osobowych Wraz z nowelizacją ustawy o ochronie danych osobowych, która weszła w życie w dniu 7 marca 2011r. skreślone zostały art. 29 i 30, które do tej pory regulowały kwestie udostępniania danych osobowych Konieczność legitymowania się jedną z przesłanek dopuszczających przetwarzanie danych osobowych ©2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Udostępnianie danych a dostęp do informacji publicznych 3/24/2017 12:43 AM Udostępnianie danych a dostęp do informacji publicznych Prawo do informacji publicznej podlega ograniczeniu ze względu na prywatność osoby fizycznej lub tajemnicę przedsiębiorcy. Ograniczenie to nie dotyczy informacji o osobach pełniących funkcje publiczne, mających związek z pełnieniem tych funkcji, w tym o warunkach powierzenia i wykonywania funkcji, oraz przypadku, gdy osoba fizyczna lub przedsiębiorca rezygnują z przysługującego im prawa Podmiotowi, któremu odmówiono prawa dostępu do informacji publicznej ze względu na wyłączenie jej jawności z powołaniem się na ochronę danych osobowych, prawo do prywatności oraz tajemnicę inną niż państwowa, służbowa, skarbowa lub statystyczna, przysługuje prawo wniesienia powództwa do sądu powszechnego o udostępnienie takiej informacji (sąd rejonowy właściwy ze względu na siedzibę podmiotu, który odmówił udostępnienia informacji publicznej Odmowa udostępnienia informacji publicznej następuje w drodze decyzji administracyjnej, wydawanej zgodnie z przepisami KPA. ©2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Udostępnianie danych a dostęp do informacji publicznych 3/24/2017 12:43 AM Udostępnianie danych a dostęp do informacji publicznych Istnieją takie informacje (dane), które również w wypadku osób publicznych nie będą mieściły się w ramach zakresu przedmiotowego prawa do informacji. Będą to np. co do zasady, informacje dotyczące stanu zdrowia czy sfery intymności, w tym życia seksualnego. Należy zaznaczyć, że niekiedy sfera publiczna i prywatna przenikają się – wówczas ocena dopuszczalności ingerencji polegająca na odkrywaniu sfery prywatnej powinna być dokonywana niezwykle ostrożnie i z wyważeniem racji, które mogłyby przemawiać za uznaniem priorytetu interesu publicznego, wyrażającego się w konstytucyjnej gwarancji prawa do informacji, w stosunku do ochrony prywatności (wyrok TK sygn. akt K 41/02) ©2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Udostępnianie danych a dostęp do informacji publicznych 3/24/2017 12:43 AM Udostępnianie danych a dostęp do informacji publicznych Zdaniem TK (sygn. akt K 17/05) prywatność osób publicznych podlega słabszej ochronie z tego względu, że z zakresu przedmiotowego prawa do informacji publicznej nie są wyłączone informacje mające związek z pełnieniem funkcji publicznych Wniosek złożony w trybie ustawy o dostępie do informacji publicznej nie jest tożsamy z wnioskiem o udostępnienie danych w myśl UODO Do udostępnienia informacji publicznej o osobie pełniącej funkcje publiczną nie jest wymagana zgoda tej osoby. To podmiot zobowiązany do jej udostępnienia musi samodzielnie zadecydować o tym czy istnieją przesłanki ograniczające obowiązek udostępnienia informacji publicznej ©2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Zabezpieczenie danych osobowych 3/24/2017 12:43 AM Zabezpieczenie danych osobowych Organizacyjne np. upoważnienia do przetwarzania danych Techniczne np. zabezpieczenie systemu informatycznego przed szkodliwym oprogramowaniem Zabezpieczenia ©2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Zabezpieczenie danych osobowych 3/24/2017 12:43 AM Zabezpieczenie danych osobowych Administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem ©2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Zabezpieczenie danych osobowych 3/24/2017 12:43 AM Zabezpieczenie danych osobowych Upoważnienie osób, które będą przetwarzały dane osobowe Prowadzenie ewidencji osób, które zostały upoważnione do przetwarzania danych osobowych Zapewnienie kontroli nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane Zobowiązanie osób, które zostały dopuszczone do przetwarzania danych do zachowania ich w tajemnicy; obowiązek ten rozciąga się także na informacje o sposobach ich zabezpieczenia Obowiązek prowadzenia dokumentacji ochrony danych osobowych Szkolenia dla osób przetwarzających dane osobowe Wyznaczenie administratora bezpieczeństwa informacji (ABI) ©2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Zabezpieczenie danych osobowych 3/24/2017 12:43 AM Zabezpieczenie danych osobowych Uwzględniając kategorie przetwarzanych danych oraz zagrożenia wprowadza się poziomy bezpieczeństwa przetwarzania danych osobowych w systemie informatycznym: Poziom podstawowy - w systemie informatycznym nie są przetwarzane dane wrażliwe oraz żadne z urządzeń systemu informatycznego, służącego do przetwarzania danych osobowych nie jest połączone z siecią publiczną Poziom podwyższony - w systemie informatycznym przetwarzane są dane wrażliwe oraz żadne z urządzeń systemu informatycznego, służącego do przetwarzania danych osobowych nie jest połączone z siecią publiczną Poziom wysoki - przynajmniej jedno urządzenie systemu informatycznego, służącego do przetwarzania danych osobowych, połączone jest z siecią publiczną ©2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Przegląd wymaganych środków bezpieczeństwa 3/24/2017 12:43 AM Przegląd wymaganych środków bezpieczeństwa Zabezpieczenie obszaru przetwarzania danych przed dostępem osób nieuprawnionych na czas nieobecności w nim osoby upoważnionej Przebywanie osób nieuprawnionych w obszarze przetwarzania danych wymaga zgody administratora danych lub musi następować w obecności osoby upoważnionej Odrębne identyfikatory dla systemów informatycznych użytkowanych przez 2 lub więcej użytkowników Konieczność uwierzytelnienia do systemu informatycznego Zabezpieczenie systemu informatycznego przed działalnością szkodliwego oprogramowania Zabezpieczenie systemu informatycznego przed awariami w sieci zasilającej ©2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Przegląd wymaganych środków bezpieczeństwa 3/24/2017 12:43 AM Przegląd wymaganych środków bezpieczeństwa Zakaz przekazywania identyfikatora użytkownika, który utracił uprawnienia innemu użytkownikowi Hasła (poziom podstawowy): 6 znaków, zmiana co 30 dni Hasła (poziom podwyższony i wysoki): 8 znaków zawierających wielkie i małe litery, znaki specjalne lub cyfry; zmiana hasła co 30 dni Wykonywanie kopii zapasowych, bezpieczne ich przechowywanie i niszczenie po ustaniu przydatności Stosowanie kryptograficznych środków ochrony na komputerach przenośnych służących do przetwarzania danych Usuwanie danych osobowych z nośników przeznaczonych do naprawy/likwidacji Monitorowanie wdrożonych zabezpieczeń ©2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Przegląd wymaganych środków bezpieczeństwa 3/24/2017 12:43 AM Przegląd wymaganych środków bezpieczeństwa Zapewnienie poufności i integralności dla danych wrażliwych przetwarzanych na nośnikach i komputerach Stosowanie środków bezpieczeństwa (fizycznych lub logicznych) w celu ochrony przed zagrożeniami pochodzącymi z sieci publicznej (zabezpieczenie przed nieuprawnionym dostępem) Zabezpieczenia logiczne muszą zapewnić kontrolę przepływu informacji pomiędzy systemem informatycznym administratora danych a siecią publiczną Zabezpieczenia logiczne muszą zapewnić kontrolę działań inicjowanych z sieci publicznej i systemu informatycznego administratora danych stosowanie środków kryptograficznej ochrony wobec danych wykorzystywanych do uwierzytelnienia, które są przesyłane w sieci publicznej ©2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Rejestracja zbiorów w GIODO 3/24/2017 12:43 AM Rejestracja zbiorów w GIODO Obowiązek rejestracji danych przez ADO, chyba że istnieje możliwość skorzystania z wyjątku przewidzianego w UODO (np. dane kadrowe, dane niezbędne do wystawienia faktury/rachunku, dane powszechnie dostępne) Rejestracji dokonuje się na formalnym wniosku, w którym podaje się m.in. informacje o ADO (nazwa, adres, REGON), cel i zakres przetwarzanych danych, wskazanie przesłanki, na podstawie której następuje przetwarzanie, informacje nt. outsourcingu, sposób zbierania danych, opis środków technicznych i organizacyjnych Możliwość wypełnienia wniosku on-line: http://egiodo.giodo.gov.pl ©2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Rejestracja zbiorów w GIODO 3/24/2017 12:43 AM Rejestracja zbiorów w GIODO Z obowiązku rejestracji zbioru danych zwolnieni są administratorzy danych (przykłady): przetwarzanych w związku z zatrudnieniem u nich, świadczeniem im usług na podstawie umów cywilnoprawnych, a także dotyczących osób u nich zrzeszonych lub uczących się, tworzonych na podstawie przepisów dotyczących wyborów do Sejmu, Senatu, Parlamentu Europejskiego, rad gmin, rad powiatów i sejmików województw, wyborów na urząd Prezydenta Rzeczypospolitej Polskiej, na wójta, burmistrza, prezydenta miasta oraz dotyczących referendum ogólnokrajowego i referendum lokalnego, przetwarzanych w zakresie drobnych bieżących spraw życia codziennego ©2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Rejestracja zbiorów w GIODO 3/24/2017 12:43 AM Rejestracja zbiorów w GIODO Administrator danych „zwykłych” może rozpocząć ich przetwarzanie w zbiorze danych po zgłoszeniu tego zbioru GIODO, chyba że ustawa zwalnia go z tego obowiązku Administrator danych wrażliwych może rozpocząć ich przetwarzanie w zbiorze danych po zarejestrowaniu zbioru, chyba że ustawa zwalnia go z obowiązku zgłoszenia zbioru do rejestracji. ©2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Systemy informatyczne służące do przetwarzania danych 3/24/2017 12:43 AM Systemy informatyczne służące do przetwarzania danych System informatyczny - zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych Zabezpieczenie danych w systemie informatycznym - wdrożenie i eksploatacja stosownych środków technicznych i organizacyjnych zapewniających ochronę danych przed ich nieuprawnionym przetwarzaniem ©2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Systemy informatyczne służące do przetwarzania danych 3/24/2017 12:43 AM Systemy informatyczne służące do przetwarzania danych System informatyczny musi odnotowywać: Datę pierwszego wprowadzenia danych (odnotowanie automatyczne) Identyfikator użytkownika wprowadzającego dane osobowe do systemu (odnotowanie automatyczne), chyba że dostęp do systemu informatycznego i przetwarzanych w nim danych posiada wyłącznie jedna osoba Źródło danych, w przypadku zbierania danych, nie od osoby, której one dotyczą Informacje o odbiorcach, którym dane zostały udostępnione, dacie i zakresie tego udostępnienia, chyba że system informatyczny używany jest do przetwarzania danych zawartych w zbiorach jawnych ©2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Systemy informatyczne służące do przetwarzania danych 3/24/2017 12:43 AM Systemy informatyczne służące do przetwarzania danych Sprzeciw na przetwarzanie danych Wydrukowanie raportu zawierającego powyższe informacje Wyjątek: systemy służące do przetwarzania danych osobowych ograniczone wyłącznie do edycji tekstu w celu udostępnienia go na piśmie ©2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

3/24/2017 12:43 AM Prawa osób fizycznych Prawo do informacji (m.in. czy zbiór istnieje, kiedy powstał, kto jest administratorem, jakie dane są przetwarzane, w jakim celu, jacy są odbiorcy danych w przypadku ich udostępniania, jakie jest źródło pozyskania danych) (nie częściej niż raz na 6 miesięcy) Prawo weryfikowania poprawności danych (żądanie uzupełnienia, uaktualnienia, sprostowania danych osobowych etc.) Prawo sprzeciwiania się przetwarzaniu danych osobowych oraz możliwość żądania ich usunięcia w określonych przypadkach (np. marketing, przekazywanie danych innym administratorom) ©2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Prawa osób fizycznych Sprzeciw na przetwarzanie danych osobowych 3/24/2017 12:43 AM Prawa osób fizycznych Sprzeciw na przetwarzanie danych osobowych Dotyczy sprzeciwu na marketing i przekazywania danych do innych administratorów danych W razie wniesienia sprzeciwu dalsze przetwarzanie kwestionowanych danych jest niedopuszczalne ADO może jednak pozostawić w zbiorze imię lub imiona i nazwisko osoby oraz numer PESEL lub adres wyłącznie w celu uniknięcia ponownego wykorzystania danych tej osoby w celach objętych sprzeciwem ©2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

3/24/2017 12:43 AM GIODO Organ administracji publicznej z siedzibą w Warszawie (będą oddziały zamiejscowe) Działa na wniosek lub z urzędu Organ dwuinstancyjny (możliwość złożenia wniosku o ponowne rozpatrzenie sprawy) ©2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

3/24/2017 12:43 AM GIODO Zadania: Kontrola zgodności przetwarzania danych z przepisami o ochronie danych osobowych Wydawanie decyzji administracyjnych i rozpatrywanie skarg w sprawach wykonania przepisów o ochronie danych osobowych Rejestracja zbiorów danych ©2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

3/24/2017 12:43 AM GIODO Stosowanie środków egzekucyjnych mających na celu zapewnienie wykonalności decyzji GIODO Opiniowanie projektów ustaw i rozporządzeń dotyczących ochrony danych osobowych Edukacja (wystąpienia do organów etc.) ©2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

GIODO Uprawnienia kontrolne: 3/24/2017 12:43 AM GIODO Uprawnienia kontrolne: Wstęp do pomieszczenia, w którym zlokalizowany jest zbiór danych Żądanie złożenia pisemnych lub ustnych wyjaśnień oraz wzywanie i przesłuchiwanie osoby w zakresie niezbędnym do ustalenia stanu faktycznego ©2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

3/24/2017 12:43 AM GIODO Wgląd do wszelkich dokumentów i wszelkich danych mających bezpośredni związek z przedmiotem kontroli oraz sporządzania ich kopii Przeprowadzanie oględzin urządzeń, nośników oraz systemów informatycznych służących do przetwarzania danych ©2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

GIODO Zakończenie kontroli GIODO: 3/24/2017 12:43 AM GIODO Zakończenie kontroli GIODO: Wydanie decyzji administracyjnej (uchybienia np. nakaz zastosowania dodatkowych zabezpieczeń) Skierowanie wniosku o wszczęcie postępowania dyscyplinarnego Zawiadomienie prokuratury o podejrzeniu popełnienia przestępstwa ©2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

3/24/2017 12:43 AM Odpowiedzialność Odpowiedzialność administracyjna (np. usunięcie uchybień, usunięcie danych osobowych) Odpowiedzialność cywilnoprawna (dane osobowe jako dobro osobiste, roszczenia sądowe – zadośćuczynienia za doznaną krzywdę wyrządzoną wskutek udostępnienia danych) Odpowiedzialność według prawa pracy (postępowanie w celu nałożenia kary porządkowej, postępowanie zmierzające do rozwiązania stosunku pracy) Odpowiedzialność karna Wizerunek ADO ©2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

3/24/2017 12:43 AM Sankcje karne z UODO Art. 51. 1. Kto administrując zbiorem danych lub będąc obowiązany do ochrony danych osobowych udostępnia je lub umożliwia dostęp do nich osobom nieupoważnionym, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. 2. Jeżeli sprawca działa nieumyślnie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku. Art. 52. Kto administrując danymi narusza choćby nieumyślnie obowiązek zabezpieczenia ich przed zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku. ©2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

3/24/2017 12:43 AM Sankcje karne z UODO Art. 54a. Kto inspektorowi udaremnia lub utrudnia wykonanie czynności kontrolnej, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2 ©2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Mail: michal.sztaberek@isecure.pl 3/24/2017 12:43 AM Dziękuję za uwagę Michał Sztąberek Tel.: 607 271 915 Mail: michal.sztaberek@isecure.pl ©2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.