Rejestracja Zbioru Danych w GIODO.

Slides:



Advertisements
Podobne prezentacje
1. Podstawy prawne: - ustawa z dnia 7 kwietnia 1989 r.  Prawo o stowarzyszeniach, (Dz.U j. t. z późn. zm.) - ustawa z dnia 25 czerwca 2010 r.
Advertisements

Ministerstwo Sprawiedliwości
Wyciąg z dokumentacji związanej z ochroną danych osobowych uczestników projektu Akademia uczniowska przetwarzanych w ramach zbioru PEFS 2007 i obowiązującej.
Katowice, dnia 2 października 2012 roku
Kompleksowe zarządzanie bezpieczeństwem informacji
Michał Sztąberek iSecure Sp. z o.o.
Rodzaje danych i podstawy prawne ich przetwarzania w branży ubezpieczeniowej adw. dr Paweł Litwiński 1 1.
Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych
OCHRONA DANYCH OSOBOWYCH
Wymagania ustawy o bateriach i akumulatorach
Aktualne zagadnienia prawne.
Niektóre procedury wynikające z przepisów prawa, przy bieżącej aktualizacji ewidencji gruntów i budynków, dokonywanej przez starostów. Zgłoszenia zmiany,
„Ochrona osób, mienia, obiektów i obszarów”
Szkolenie w zakresie ochrony danych osobowych
REJESTR DZIAŁAŃ RATOWNICZYCH
Konkursowe portale społecznościowe w świetle polskiego prawa
Środki bezpieczeństwa
Dane Osobowe - prezentacja zrealizowana przez Katarzynę Malinowską w ramach projektu „Twoje Dane – Twoja sprawa”
OCHRONA DANYCH OSOBOWYCH Dr hab. Mariusz Jagielski
Ochrona danych osobowych w systemie prawa polskiego (1)
BEZPIECZEŃSTWO ELEKTRONICZNYCH DANYCH MEDYCZNYCH
PAŃSTWOWA INSPEKCJA SANITARNA
Ochrona danych osobowych w ngo
Ochrona danych osobowych
Wykorzystanie dróg w sposób szczególny:
Dyrektor Departamentu Orzecznictwa, Legislacji i Skarg
Zespół Szkół w Rzepedzi Gimnazjum
Ochrona danych osobowych: wybrane aspekty
Usługi BDO - odpowiedź na realne potrzeby rynku
Podstawowe akty prawne dotyczące zadań realizowanych dla cudzoziemców
OCHRONA DANYCH OSOBOWYCH Dr hab. Mariusz Jagielski
FAKTURY VAT 2014 Podlaski Urząd Skarbowy w Białymstoku
Aleph Raporty, raport danych osobowych, ubytki OPAC.
Pracownicze dane osobowe
Ochrona danych osobowych w placówce oświatowej
Zgłaszanie prac geodezyjnych
OCHRONA DANYCH OSOBOWYCH Dr hab. Mariusz Jagielski
 Przedmiotem zamówienia jest wykonanie usług ochroniarskich i usług portierskich na terenie domów pomocy społecznej, wchodzących.
Ochrona danych osobowych w administracji publicznej
OCHRONA DANYCH OSOBOWYCH W STOSUNKACH PRACY
Ochrona danych osobowych
Zmiana imienia i nazwiska
Szkolenie Ochrona danych osobowych
DOKUMENTACJA OCHRONY DANYCH OSOBOWYCH dr hab. Mariusz Jagielski
OCHRONA DANYCH OSOBOWYCH NA UCZELNI
Reglamentacja procesu budowy
Ochrona danych osobowych i konsekwencje jej nieprzestrzegania
IV edycja programu: „Twoje dane – Twoja sprawa” Częstochowa, dn. 30 października 2013 r.
Dr Jacek Borowicz. PRZEWTARZANIE DANYCH CHRONIONYCH W RAMACH STOSUNKU PRACY  Tajemnica pracodawcy  Tajemnica przedsiębiorcy  Informacje niejawne 
Procedura rejestracji firmy Przed zarejestrowaniem firmy, ale kiedy nabrała ona już określonych kształtów przedsiębiorca powinien:  zdecydować co będzie.
Rada szkoleniowa „Cyfrowe bezpieczeństwo danych osobowych w szkole”
Ochrona danych osobowych w placówce oświatowej Obowiązki, zadania i uprawnienia dyrektora placówki Warsztat specjalistyczny 2014.
NAJWAŻNIEJSZE AKTY PRAWNE WYKONAWCZE DO USTAWY Z 29 SIERPNIA 1997 ROKU O OCHRONIE DANYCH OSOBOWYCH.
Ochrona danych osobowych
Portal Ogłoszeń ARiMR 10 maja 2017 r. Warszawa.
O ochronie danych osobowych
O ochronie danych osobowych.
O ochronie danych osobowych
Ochrona danych osobowych
Ochrona danych osobowych
O ochronie danych osobowych
OCHRONA DANYCH OSOBOWYCH
KTO CHCE TWOJE DANE OSOBOWE?
RODO Rafał Kiełkowski Wiceprezes Okręgowej Rady Lekarskiej
Zmiany związane z wejściem w życie Rozporządzenia o Ochronie Danych Osobowych (RODO) stosowane od dnia r.
Ochrona danych osobowych w placówce oświatowej
ZEZWOLENIA NA PRACĘ ORAZ POBYT I PRACĘ W WOJEWÓDZTWIE LUBUSKIM
Procedury związane z zatrudnianiem cudzoziemców
Portal Ogłoszeń ARiMR 10 maja 2017 r. Warszawa.
OCHRONA DANYCH OSOBOWYCH Andrzej Rybus-Tołłoczko
Zapis prezentacji:

Rejestracja Zbioru Danych w GIODO

Ustawa o ochronie danych osobowych Art. 6. 1. W rozumieniu ustawy za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. 2. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. Art. 7. 1) zbiór danych – rozumie się przez to każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie. Imię i Nazwisko nie jest daną osobową, ale numer tel. Komórkowego już tak.

Kto musi zarejestrować bazę danych Art. 40 ustawy o ochronie danych osobowych Administrator danych jest obowiązany zgłosić zbiór danych do rejestracji Generalnemu Inspektorowi, z wyjątkiem przypadków, o których mowa w art. 43 ust. 1. Administrator danych – podmiot, jak i publiczny tak i prywatny, decydujący o celach i środkach przetwarzania danych osobowych.

Sposoby zarejestrowania zbioru: Wypełnić wniosek o wpisanie zbioru do rejestru zbiorów danych osobowych na stronie www.giodo.gov.pl z użyciem bezpiecznego podpisu elektronicznego. Zgłoszenie można również dokonać drogą elektroniczną bez użycia podpisu elektronicznego, a następnie uzupełnić zgłoszenie w formie papierowej. Wypełnić wniosek i przesłać pocztą lub złożyć w Biurze Generalnego Inspektora Ochrony Danych Osobowych (ul. Stawki 2, 00-193 Warszawa).

Wniosek o wpisanie zbioru do rejestru zbiorów danych osobowych zawiera: Część A – rodzaj zgłoszenia Część B – znaczenie administratora danych i adres jego siedziby lub miejsca zamieszkania, w tym numer identyfikacyjny rejestru podmiotów gospodarki narodowej, jeżeli został mu nadany, oraz podstawę prawną upoważniającą do prowadzenia zbioru, a w przypadku powierzenia przetwarzania danych podmiotowi, o którym mowa w art. 31, lub wyznaczenia podmiotu, o którym mowa w art. 31a, oznaczenie tego podmiotu i adres jego siedziby lub miejsca zamieszkania, Część C – cel przetwarzania danych, opis kategorii osób, których dane dotyczą, oraz zakres przetwarzanych danych, Część D – sposób zbierania oraz udostępniania danych, informację o odbiorcach lub kategoriach odbiorców, którym dane mogą być przekazywane, Część E – opis środków technicznych i organizacyjnych zastosowanych w celach określonych w art. 36-39, Część F – informację o sposobie wypełnienia warunków technicznych i organizacyjnych, określonych w przepisach, o których mowa w art. 39a, informację dotyczącą ewentualnego przekazywania danych do państwa trzeciego.

Przed rozpoczęciem wypełniania zgłoszenia należy określić, czego ono dotyczy poprzez zakreślenie właściwego pola odpowiadającego rodzajowi zgłoszenia. Część A zgłoszenie zbioru na podstawie art. 40 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 i Nr 153, poz. 1271 oraz z 2004 r. Nr 25, poz. 219 i Nr 33, poz. 285),  zgłoszenie zmian na podstawie art. 41 ust. 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych,   zgłoszenie zbioru, w którym będą przetwarzane dane określone w art. 27 ust. 1 ustawy z dnia 29 sierp–nia 1997 r. o ochronie danych osobowych. (tzw. dane szczególnie chronione)

Dane szczególnie chronione art. 27 ust. 1 ustawy o ochronie danych osobowych Dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, dane o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym, dane dotyczące skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym. Katalog zamknięty.

Część B Powierzenie przetwarzania danych osobowych – jeżeli administrator danych zamierza powierzyć przetwarzanie danych osobowych innemu podmiotowi, to powinien spełnić warunki określone w art. 31 ustawy o ochronie danych osobowych. W przypadku powierzenia danych innemu podmiotowi w punkcie tym należy podać nazwę i siedzibę podmiotu, któremu powierzono przetwarzanie danych osobowych. Przedstawiciel Wnioskodawcy, o którym mowa w art. 31a ustawy o ochronie danych osobowych – w przypadku przetwarzania danych osobowych przez podmioty mające siedzibę albo miejsce zamieszkania w państwie trzecim, tj. państwie nie należącym do Europejskiego Obszaru Gospodarczego, administrator danych jest obowiązany wyznaczyć swojego przedstawiciela w Rzeczypospolitej Polskiej. W przypadku wyznaczenia przedstawiciela administratora danych, w punkcie tym należy podać jego nazwę i adres siedziby lub nazwisko, imię i adres miejsca zamieszkania.

Zgoda osoby - Deklaracja W deklaracji musi być wskazana pełna nazwa administratora danych, adres siedziby, cel przetwarzania danych oraz przekazywania danych osobom trzecim, możliwość dostępu do treści swoich danych, poprawienia ich lub usunięcia. Zwolnienie: - przepis innej ustawy -osoba posiada już w/w informacje Przykład: „W związku z przystąpieniem do Projektu “Migracja i Integracja w Praktyce-2”, wyrażam zgodę na przetwarzanie moich danych osobowych zgodnie z ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn.: Dz. Ustaw z 2002 nr 101, poz. 926 z późn. zm.) przez Fundację Rozwoju „Oprócz Granic” z siedzibą w Warszawie przy ulicy Górskiego 3/17 w celu udzielenia mi wsparcia i na potrzeby realizacji projektu oraz celów statutowych. Zapoznałem/zapoznałam się z pouczeniem dotyczącym prawa dostępu do treści moich danych oraz możliwość ich poprawiania.”

Lepiej wpisać więcej i nie zbierać.

Dane szczególno chronione

Część D – sposób zbierania i udostępniania danych W tej części należy wskazać źródło pozyskiwania danych: 1) Od osób, których dotyczą 2) Z innych źródeł niż osoba, której dane dotyczą. W przypadku, jeżeli dane będą pozyskiwane zarówno od osób, których dotyczą jak i z innych źródeł wówczas należy zaznaczyć obydwa wymienione w tym punkcie pola wyboru. Art. 24 Ustawy o ochronie danych osobowych 1. W przypadku zbierania danych osobowych od osoby, której one dotyczą, administrator danych jest obowiązany poinformować tę osobę o: 1) adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna – o miejscu swojego zamieszkania oraz imieniu i nazwisku, 2) celu zbierania danych, a w szczególności o znanych mu w czasie udzielania informacji lub przewidywanych odbiorcach lub kategoriach odbiorców danych, 3) prawie dostępu do treści swoich danych oraz ich poprawiania, 4) dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje, o jego podstawie prawnej. Art. 25 W przypadku zbierania danych osobowych nie od osoby, której one dotyczą, administrator danych jest obowiązany dodatkowo poinformować tę osobę o źródle danych.

Sposób udostępniania danych ze zbiorów: Trzeba zaznaczyć pole jeżeli administrator danych pozyskane przez siebie dane będzie przekazywał podmiotom innym niż uprawnione do ich pozyskania na podstawie obowiązujących przepisów prawa. A także wpisać odbiorców lub kategorie odbiorców, którym dane mogą być przekazywane.

W punkcie 15 a) Centralne prowadzenie zbioru danych, zarówno w przypadku przetwarzania danych w systemie informatycznym jak i w tzw. systemie tradycyjnym (papierowym), oznacza zlokalizowanie danych w jednym miejscu (w jednym pomieszczeniu lub budynku). Prowadzenie zbioru w architekturze rozproszonej, zarówno w przypadku przetwarzania danych w systemie informatycznym jak i w tzw. systemie tradycyjnym (papierowym), oznacza że dane są przetwarzane w sposób zdecentralizowany. Zbiór prowadzony jest w architekturze rozproszonej (w przypadku przetwarzania danych w systemie informatycznym) np. w sytuacji gromadzenia danych na dwóch serwerach zlokalizowanych w odrębnych budynkach. W punkcie 15 b) należy określić, czy dane w zbiorze przetwarzane są wyłącznie w postaci papierowej, czy też z użyciem systemu informatycznego. W punkcie 15c) należy zaznaczyć właściwe środowisko informatyczne, w którym przetwarzane są dane osobowe kierując się następującym kryterium: Należy uznać, że system używany do przetwarzania danych osobowych jest połączony z siecią publiczną jeżeli co najmniej jedno urządzenie (komputer, router, modem) będące jego częścią jest połączone z siecią publiczna tzn. z siecią telekomunikacyjną.

Punkty od 16a do 16e wskazują wymogi, które każdy administrator danych zobowiązany jest spełnić przed rozpoczęciem przetwarzania danych w zbiorze. Administrator prowadzący zbiór wyłącznie w postaci papierowej zobowiązany jest do zastosowania środków określonych w pkt 16a – 16d, a w przypadku gdy zbiór prowadzony jest w systemie informatycznym, dodatkowo wymogu określonego w pkt. 16e. Ewidencja osób upoważnionych bezpośrednio w bazie danych. Wzór polityki bezpieczeństwa państwo dostaną od nas oraz punkt e) tzw. Manual. W pkt. 16f należy wskazać inne środki techniczne i organizacyjne, które administrator zastosował w celu zabezpieczenia danych. np. drzwi antywłamaniowe lub alarm

Osoby upoważnione do przetwarzania danych Ustawa o ochronie danych osobowych Art. 36. Administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. Art. 37. Do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych. Osoba upoważniona do przetwarzania danych osobowych - każdy pracownik, który pracuje z danymi - Pracownik który nie pracuje z danymi, ale znajduje się w pomieszczeniu gdzie dane są przetwarzane,

Upoważnienie Upoważnienie musi zawierać: wyszczególnienie do czego ta osoba jest upoważniona zgoda osoby na stosowanie zaleceń i przepisów oświadczenie z zapoznanie się z Polityką Bezpieczeństwa, Instrukcją Zarządzania Systemem Informatycznym oraz ewidencją osób upoważnionych. Art. 39. 1. Administrator danych prowadzi ewidencję osób upoważnionych do ich przetwarzania, która powinna zawierać: 1) imię i nazwisko osoby upoważnionej, 2) datę nadania i ustania oraz zakres upoważnienia do przetwarzania danych osobowych, 3) identyfikator, jeżeli dane są przetwarzane w systemie informatycznym. 2. Osoby, które zostały upoważnione do przetwarzania danych, są obowiązane zachować w tajemnicy te dane osobowe oraz sposoby ich zabezpieczenia.

Sposób wypełnienia warunków technicznych i organizacyjnych (Część F dotyczy wyłącznie zbiorów danych przetwarzanych w systemach informatycznych) W tym punkcie należy wskazać poziom bezpieczeństwa przetwarzania danych w systemie informatycznym, który zastosował administrator danych. Poziom przynajmniej podwyższony należy zastosować, jeżeli wnioskodawca przetwarza dane szczególnie chronione. W przypadku, gdy przynajmniej jedno urządzenie systemu informatycznego służącego do przetwarzania danych osobowych połączone jest z siecią publiczną, należy zastosować środki bezpieczeństwa na poziomie wysokim. W pozostałych przypadkach przetwarzania danych w systemie informatycznym, wystarczające jest zastosowanie środków bezpieczeństwa na poziomie podstawowym. Szczególne warunki spełnienia warunków bezpieczeństwa określone w załączniku do Rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 roku.

Zaświadczenie o zarejestrowaniu Na żądanie administratora danych może być wydane zaświadczenie o zarejestrowaniu zbioru (opłata skarbowa 17 złotych). Jeżeli zbiór zawiera tzw. Dane Szczególnie chronione, o których mowa w art. 27 ust. 1 ustawy o ochronie danych osobowych. Wówczas Generalny Inspektor Ochrony Danych Osobowych wydaje administratorowi danych zaświadczenie o zarejestrowaniu zbioru z urzędu, niezwłocznie po dokonaniu rejestracji.

Obowiązek informowania o zmianach Zgłaszający jest obowiązany poinformować Generalnego Inspektora o każdej zmianie informacji w stosunku do tej podanej w zgłoszeniu zbioru danych, w terminie 30 dni od daty dokonania zmiany. Obowiązek zgłoszenia zmiany dotyczy np. zmiany nazwy administratora danych, adresu jego siedziby, czy zakresu danych osobowych przetwarzanych w zbiorze. Do zgłaszania zmian stosuje się odpowiednio przepisy dotyczące rejestracji zbioru danych, co oznacza w szczególności, że aktualizacji dokonuje się na tym samym formularzu, który służy do zgłoszenia zbioru do rejestracji.

DZIĘKUJĘ ZA UWAGĘ! Fundacja Rozwoju „Oprócz Granic” Górskiego 3/17 00-033 Warszawa + 48 22 403 78 72 www.frog.org.pl biuro@frog.org.pl Projekt „Narzędzia Customer Relationship Management w pracy organizacji świadczących usługi na rzecz cudzoziemców w Polsce” jest współfinansowany ze środków Europejskiego Funduszu na rzecz Uchodźców oraz budżetu państwa.