Dyrektor Departamentu Orzecznictwa, Legislacji i Skarg

Slides:



Advertisements
Podobne prezentacje
Ochrona danych osobowych w Urzędzie Miasta
Advertisements

Ochrona danych osobowych
Katowice, dnia 2 października 2012 roku
[Main presentation title here – Verdana – 16 font]
Kompleksowe zarządzanie bezpieczeństwem informacji
Michał Sztąberek iSecure Sp. z o.o.
Rodzaje danych i podstawy prawne ich przetwarzania w branży ubezpieczeniowej adw. dr Paweł Litwiński 1 1.
Wytyczne Ministra Rozwoju Regionalnego w zakresie wyboru projektów w trybie konkursowym Szkolenie, maja 2007 r. Departament Koordynacji i Zarządzania.
Polityka społeczna m.st. Warszawy Biuro Polityki Społecznej Urzędu m.st. Warszawy 2011r.
Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych
OCHRONA DANYCH OSOBOWYCH
Ochrona danych osobowych
Eksploatacja zasobów informatycznych przedsiębiorstwa
Polskie przepisy dotyczące tworzenia i funkcjonowania EUWT
Aktualne zagadnienia prawne.
Niektóre procedury wynikające z przepisów prawa, przy bieżącej aktualizacji ewidencji gruntów i budynków, dokonywanej przez starostów. Zgłoszenia zmiany,
Szkolenie w zakresie ochrony danych osobowych
OCHRONA DANYCH OSOBOWYCH -
REJESTR DZIAŁAŃ RATOWNICZYCH
Środki bezpieczeństwa
Ochrona danych osobowych
Bezpieczeństwo danych przetwarzanych w podmiotach leczniczych
OCHRONA DANYCH OSOBOWYCH Dr hab. Mariusz Jagielski
Ochrona danych osobowych w systemie prawa polskiego (1)
Rejestracja Zbioru Danych w GIODO.
BEZPIECZEŃSTWO ELEKTRONICZNYCH DANYCH MEDYCZNYCH
PAŃSTWOWA INSPEKCJA SANITARNA
Ustawa o swobodzie działalności gospodarczej
Ochrona danych osobowych w ngo
Ochrona danych osobowych
Wykorzystanie dróg w sposób szczególny:
Ochrona danych osobowych: wybrane aspekty
Usługi BDO - odpowiedź na realne potrzeby rynku
OCHRONA DANYCH OSOBOWYCH Dr hab. Mariusz Jagielski
VIII. POSTĘPOWANIE ADMINISTRACYJNE Zmierza do wymuszenia na administratorze realizacji obowiązków nałożonych prawem.
Aleph Raporty, raport danych osobowych, ubytki OPAC.
Znaczenia Biuletynu Informacji Publicznej w realizacji prawa do informacji publicznej Katowice, dr Grzegorz Sibiga Instytut Nauk Prawnych PAN.
Pracownicze dane osobowe
Ochrona danych osobowych i informacji niejawnych
Zgłaszanie prac geodezyjnych
OCHRONA DANYCH OSOBOWYCH Dr hab. Mariusz Jagielski
Ochrona danych osobowych w administracji publicznej
OCHRONA DANYCH OSOBOWYCH W STOSUNKACH PRACY
Ocena jakości systemów informacyjnych (aspekt eksploatacyjny)
Eksploatacja zasobów informatycznych przedsiębiorstwa.
Szkolenie Ochrona danych osobowych
DOKUMENTACJA OCHRONY DANYCH OSOBOWYCH dr hab. Mariusz Jagielski
POLITYKA BEZPIECZEŃSTWA. Podstawa prawna: §3 i §4 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r., w sprawie dokumentacji.
OCHRONA DANYCH OSOBOWYCH NA UCZELNI
Reglamentacja procesu budowy
Bezpieczeństwo informacyjne i informatyczne państwa
Prawa człowieka i systemy ich ochrony
Dr Jacek Borowicz. PRZEWTARZANIE DANYCH CHRONIONYCH W RAMACH STOSUNKU PRACY  Tajemnica pracodawcy  Tajemnica przedsiębiorcy  Informacje niejawne 
System ochrony danych osobowych a System zarządzania bezpieczeństwem informacji - w kontekście Rozporządzenia o Krajowych Ramach Interoperacyjności i normy.
Rada szkoleniowa „Cyfrowe bezpieczeństwo danych osobowych w szkole”
Ochrona danych osobowych w placówce oświatowej Obowiązki, zadania i uprawnienia dyrektora placówki Warsztat specjalistyczny 2014.
NAJWAŻNIEJSZE AKTY PRAWNE WYKONAWCZE DO USTAWY Z 29 SIERPNIA 1997 ROKU O OCHRONIE DANYCH OSOBOWYCH.
Ochrona danych osobowych
Pracownicze dane osobowe
Zasady zgłaszania innowacji pedagogicznej w kontekście
Rozporządzenie Ministra Edukacji Narodowej z dnia 27 października 2009 r. w sprawie wymagań, jakim powinna odpowiadać osoba zajmująca stanowisko dyrektora.
TEMAT KLASYFIKOWANIE INFORMACJI NIEJAWNYCH. KLAUZULE TAJNOŚCI
Co się zmienia w systemie ochrony danych osobowych w świetle RODO
Odpowiedzialność za naruszenie przepisów o ochronie informacji niejawnych Ustawa o ochronie informacji niejawnych, mimo uregulowania wielu najistotniejszych.
Przetwarzanie danych osobowych - dokumentacja
Zmiany związane z wejściem w życie Rozporządzenia o Ochronie Danych Osobowych (RODO) stosowane od dnia r.
Ochrona danych osobowych w placówce oświatowej
Ochrona baz danych.
OCHRONA DANYCH OSOBOWYCH Andrzej Rybus-Tołłoczko
Wyniki kontroli Warszawa, czerwiec 2019 r..
Zapis prezentacji:

Dyrektor Departamentu Orzecznictwa, Legislacji i Skarg Prawidłowe kształtowanie zasad ochrony danych osobowych w procesie tworzenia przepisów prawa Monika Krasińska Dyrektor Departamentu Orzecznictwa, Legislacji i Skarg Biuro GIODO Tomasz Głuszczyk Główny Specjalista w Departamencie Orzecznictwa, Legislacji i Skarg Biuro GIODO Projekt jest współfinansowany ze środków Unii Europejskiej w ramach Europejskiego Funduszu Społecznego

Przedmiot prezentacji organ ochrony danych osobowych zasady ogólne zasady przetwarzania danych - obowiązki administratorów prawa osób, których dane dotyczą powierzenie przetwarzania obowiązek zabezpieczenia danych obowiązek rejestracji zbioru danych odpowiedzialność karna Projekt jest współfinansowany ze środków Unii Europejskiej w ramach Europejskiego Funduszu Społecznego

Organ ochrony danych osobowych Generalny Inspektor Ochrony Danych Osobowych (art. 8-11) zadania (art. 12) uprawnienia kontrolne (art. 14 - 16) decyzje administracyjne (art. 18, art. 21-22), wnioski o wszczęcie post. dyscyplinarnego (art. 17), zawiadomienia o popełnieniu przestępstwa (art. 19) ogólnokrajowy, jawny rejestr zbiorów danych osobowych (art. 42) wystąpienia (art. 19a) opiniowanie projektów ustaw i rozporządzeń dotyczących ochrony danych osobowych (art. 12 pkt 5) uczestniczenie w pracach międzynarodowych organizacji i instytucji zajmujących się problematyką ochrony danych osobowych prowadzenie rejestru zbiorów danych osobowych Projekt jest współfinansowany ze środków Unii Europejskiej w ramach Europejskiego Funduszu Społecznego

Zasady ogólne każdy ma prawo do ochrony jego danych osobowych (art. 1 ustawy o ochronie danych osobowych, art. 47 i 51 Konstytucji RP) - dobro publiczne - dobro podmiotu danych - dobro osób trzecich zakres przedmiotowy i podmiotowy ustawy (art. 2-3) wyjątki w zakresie stosowania ustawy (art. 3a-5) pojęcie danych osobowych w świetle rozwoju nowoczesnych technologii (art. 6-7) - Opinia Grupy Roboczej Art. 29 Dyrektywy 96/45/WE nr 4/2007 w sprawie pojęcia danych osobowych - Wyrok z dnia 19 maja 2011 r., sygn. Akt IOSK 1079/10 Projekt jest współfinansowany ze środków Unii Europejskiej w ramach Europejskiego Funduszu Społecznego

Zasady przetwarzania danych osobowych - obowiązki administratora, dane zwykłe przesłanki legalizujące przetwarzanie danych osobowych zwykłych (art. 23 ust. 1) - zgoda osoby, której dane dotyczą (pkt 1) . warunki pozyskiwania zgody przed i po nowelizacji ustawy o ochronie danych osobowych - uprawnienie / obowiązek wynikający z przepisu prawa (pkt 2) - umowa (pkt 3) - niezbędność do wykonania określonych prawem zadań realizowanych dla dobra publicznego - prawnie usprawiedliwiony cel administratora albo odbiorcy danych (pkt 5) . marketing usług własnych . dochodzenie roszczeń Projekt jest współfinansowany ze środków Unii Europejskiej w ramach Europejskiego Funduszu Społecznego

Zasady przetwarzania danych osobowych - obowiązki administratora, dane szczególnie chronione przesłanki legalizujące przetwarzanie danych osobowych szczególnie chronionych (art. 27 ust. 2) - zgoda osoby, której dane dotyczą (forma pisemna), - przepisy szczególne ustawy zezwalające na przetwarzanie danych bez zgody osoby, której dane dotyczą, i stwarzające pełne gwarancje ich ochrony, - dla ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby, gdy osoba, której dane dotyczą, nie jest fizycznie lub prawnie zdolna do wyrażenia zgody, do czasu ustanowienia opiekuna prawnego lub kuratora, - dla wykonania statutowych zadań kościołów i in. związków wyznaniowych, stowarzyszeń, fundacji lub in. niezarobkowych organizacji lub instytucji o celach politycznych, naukowych, religijnych, filozoficznych lub związkowych, pod warunkiem, że przetwarzanie danych dotyczy wyłącznie członków tych organizacji lub instytucji albo osób utrzymujących z nimi stałe kontakty w związku z ich działalnością i zapewnione są pełne gwarancje ochrony przetwarzanych danych, - dla dochodzenia praw przed sądem, Projekt jest współfinansowany ze środków Unii Europejskiej w ramach Europejskiego Funduszu Społecznego

Zasady przetwarzania danych osobowych - obowiązki administratora, dane szczególnie chronione - dla wykonania zadań administratora danych odnoszących się do zatrudnienia pracowników i innych osób, a zakres przetwarzanych danych jest określony w ustawie. - gdy dane zostały podane do wiadomości publicznej przez osobę, której dotyczą, - dla prowadzenia badań naukowych, w tym do przygotowania rozprawy wymaganej do uzyskania dyplomu ukończenia szkoły wyższej lub stopnia naukowego; publikowanie wyników badań naukowych nie może następować w sposób umożliwiający identyfikację osób, których dane zostały przetworzone, - dla celu realizacji praw i obowiązków wynikających z orzeczenia wydanego w postępowaniu sądowym lub administracyjnym Projekt jest współfinansowany ze środków Unii Europejskiej w ramach Europejskiego Funduszu Społecznego

Zasady przetwarzania danych osobowych - obowiązki administratora zasada przetwarzania danych zgodnie z prawem (art. 26 ust. 1 pkt 1) – kształtowanie zasady legalizmu pozyskiwania i udostępniania danych osobowych w systemach informatycznych zasada celowości (art. 26 ust. 1 pkt 2) - wyjątki (art. 26 ust. 2) zasada merytorycznej poprawności i adekwatności danych (art. 26 ust. 1 pkt 3) zasada proporcjonalności w procesie zbierania danych osobowych - wyrok z 18 czerwca 2010 r. sygn. akt II SA/Wa 151/10 (dane biometryczne) Projekt jest współfinansowany ze środków Unii Europejskiej w ramach Europejskiego Funduszu Społecznego

Zasady ogólne - obowiązki administratora a prawa osób, których dane dotyczą prawo do informacji (art. 24 i 25) - minimum informacji, jakie administrator powinien przekazać osobie, której dane dotyczą, po zebraniu i utrwaleniu jej danych adres siedziby i nazwa administratora (art. 24, 25) cel i zakres zbierania danych (art. 24, 25) dostęp do treści oraz prawo poprawiania danych (art. 24, 25) informacja o odbiorcach danych (art. 24, 25) dobrowolność / obowiązek podania danych osobowych (art. 24) źródło danych (art. 25) uprawnienia z art. 32 ust. 1 pkt 7 i 8 (art. 25) prawo do kontroli przetwarzania danych (art. 32 i 33) - zakres informacji, jakie administrator jest obowiązany przekazać osobie, której dane dotyczą, na żądanie tej osoby Projekt jest współfinansowany ze środków Unii Europejskiej w ramach Europejskiego Funduszu Społecznego

Zwolnienia administratora z obowiązku realizacji prawa do informacji przepis innej ustawy pozwala na przetwarzanie danych bez ujawniania faktycznego celu ich zbierania (bez wiedzy osoby)- (art. 24, 25) osoba, której dane dotyczą, posiada informacje wymienione w tych przepisach (art. 24, 25) badania naukowe, historyczne, statystyczne, opinii publicznej,o ile przetwarzanie danych nie narusza praw i wolności osoby badanej a spełnienie obowiązku wymagałoby nadmiernych nakładów lub zagrażałoby realizacji celu badania (art. 25) przetwarzanie na podstawie przepisów prawa przez organy państwowe, samorządu terytorialnego, państwowe i komunalne jednostki organizacyjne, podmioty niepubliczne realizujące zadania publiczne (art. 25) Projekt jest współfinansowany ze środków Unii Europejskiej w ramach Europejskiego Funduszu Społecznego

Prawa osób, których dane dotyczą - kontrola przetwarzania danych inicjatywa (wniosek) osoby, której dane dotyczą (art.33) forma – pisemna termin 30 dni obowiązek poinformowania o przysługujących prawach w zakresie określonym art.32 ust. 1 pkt 1-5a Projekt jest współfinansowany ze środków Unii Europejskiej w ramach Europejskiego Funduszu Społecznego

Prawa osób, których dane dotyczą - zakres uprawnień kontrolnych istnienie zbioru (art. 32) ustalenie administratora (art. 32) cel, zakres i sposób przetwarzania danych (art. 32 i 33) od kiedy dane są przetwarzane (art. 32) treść danych - jakie dane zawiera zbiór (art. 32 i 33) źródło i sposób pozyskania danych (art. 32 i 33) prawo do uzupełnienia, uaktualnienia, sprostowania danych (art. 32) czasowe / stałe wstrzymanie przetwarzania danych; usunięcie danych (art. 32) żądanie zaprzestania przetwarzania danych ze względu na szczególną sytuację osoby wnoszącej żądanie (art. 32 ust. 1 pkt 7) wniesienie sprzeciwu wobec przetwarzania danych w celach marketingowych, przekazywania tych danych innemu administratorowi (art. 32 ust. 1 pkt 8) Projekt jest współfinansowany ze środków Unii Europejskiej w ramach Europejskiego Funduszu Społecznego

Ograniczenia prawa kontroli Ograniczenia wynikające z ustawy (art. 34): - wiadomości zawierające informacje niejawne - obronność / bezpieczeństwo państwa - życie lub zdrowia ludzi - bezpieczeństwo i porządek publiczny - podstawowy interes gospodarczy lub finansowy państwa - istotne naruszenie dóbr osobistych podmiotu danych lub innych osób Ograniczenia wynikające z innych przepisów prawa Ograniczenia wynikające z nieistnienia zbioru (art. 32 ust. 1) Projekt jest współfinansowany ze środków Unii Europejskiej w ramach Europejskiego Funduszu Społecznego

Umowa powierzenia Forma – pisemna (art.31 ust.1) Strony umowy – administrator danych i inny podmiot Treść umowy – określenie zakresu i celu przetwarzania Obowiązek podjęcia przez podmiot, któremu dane powierzono, środków zabezpieczających zbiór danych, przed rozpoczęciem przetwarzania (art.31 ust.2) Odpowiedzialność solidarna stron umowy za jej niewykonanie Podpowierzanie za zgodą administratora jako element umowy? Projekt jest współfinansowany ze środków Unii Europejskiej w ramach Europejskiego Funduszu Społecznego

Obowiązki administratora - zabezpieczenie danych zastosowanie środków technicznych i organizacyjnych zapewniające ochronę danych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, w szczególności przed udostępnieniem danych osobom nieupoważnionym (art. 36) wyznaczenie administratora bezpieczeństwa informacji (art. 36 ust. 3) nadanie upoważnień do przetwarzania danych osobowych (art. 37) prowadzenie ewidencji osób upoważnionych do przetwarzania danych (art. 39) zakres ewidencji: 1) imię i nazwisko osoby upoważnionej, 2) datę nadania i ustania oraz zakres upoważnienia do przetwarzania danych osobowych, 3) identyfikator, jeżeli dane są przetwarzane w systemie informatycznym zapewnienie kontroli nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane. Projekt jest współfinansowany ze środków Unii Europejskiej w ramach Europejskiego Funduszu Społecznego

Obowiązki administratora zabezpieczenie danych c.d. Ochrona Danych Osobowych – Rozporządzenie. Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004. Nr100, poz.1024) Główne obszary regulacji sposób prowadzenia i zakres dokumentacji opisującej sposób przetwarzania danych osobowych oraz środki techniczne organizacyjne zapewniające ochronę przetwarzania danych osobowych odpowiednia do zagrożeń oraz kategorii danych objętych ochroną; podstawowe warunki techniczne i organizacyjne , jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych; wymagania w zakresie odnotowania udostępniania danych osobowych i bezpieczeństwa przetwarzania danych osobowych. Projekt jest współfinansowany ze środków Unii Europejskiej w ramach Europejskiego Funduszu Społecznego

Ochrona Danych Osobowych – Rozporządzenie (dokumentacja) Dokumentacja przetwarzania danych osobowych Polityka bezpieczeństwa Instrukcja zarządzania systemem informatycznym Cele i strategia zabezpieczenia danych Zagrożenia oraz ryzyko na jakie są narażone dane osobowe Wykaz budynków i pomieszczeń, w których przetwarzane są dane osobowe Dokumentację prowadzi się w formie pisemnej (§ 3 ust.2) Dokumentację wdraża administrator danych (§ 3 ust.3) Projekt jest współfinansowany ze środków Unii Europejskiej w ramach Europejskiego Funduszu Społecznego

Ochrona Danych Osobowych – Rozporządzenie (dokumentacja) 1. Polityka bezpieczeństwa wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych; opis struktury zbiorów danych wskazujących zawartość poszczególnych pól informacyjnych i powiązania między nimi; (zakres przetwarzanych danych, ich kategoria) Sposób przepływu danych pomiędzy poszczególnymi systemami; Określenie środków technicznych i organizacyjnych, niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzania danych. Projekt jest współfinansowany ze środków Unii Europejskiej w ramach Europejskiego Funduszu Społecznego

Ochrona Danych Osobowych – Rozporządzenie (dokumentacja) Polityka bezpieczeństwa Określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzania danych analiza zagrożeń (fizyczne, techniczne, programowe) (pochodzenia naturalnego, ludzkiego, nieumyślne, celowe) analiza ryzyka słabość systemu (podatność na określone zdarzenia) Norma PN-ISO/IEC 17799 Zapewnienie kierunków działania i wsparcie kierownictwa dla bezpieczeństwa informacji Definicję bezpieczeństwa informacji, jego ogólne cele i zakres oraz znaczenie bezpieczeństwa jako mechanizmu umożliwiającego współużytkowanie informacji; Oświadczenia o intencjach kierownictwa, potwierdzające cele i zasady bezpieczeństwa informacji Projekt jest współfinansowany ze środków Unii Europejskiej w ramach Europejskiego Funduszu Społecznego

Ochrona Danych Osobowych – Rozporządzenie (dokumentacja) 2. Instrukcja zarządzania systemem informatycznym procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności (Internet – procedura rejestracji); stosowanie metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem (Internet – zapominane hasło); procedery rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu (Internet - pliki cookies); procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania. Projekt jest współfinansowany ze środków Unii Europejskiej w ramach Europejskiego Funduszu Społecznego

Ochrona Danych Osobowych – Rozporządzenie (dokumentacja) 2. Instrukcja zarządzania systemem informatycznym sposób, miejsce i okres przechowywania: a) elektronicznych nośników informacji zawierających dane osobowe, b) kopii zapasowych, o których mowa w pkt. 4, sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, o których mowa w pkt. III ppkt 1 załącznika do rozporządzenia; sposób realizacji wymogów, o których mowa w § 7 ust. 1 pkt 4; procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych; sposób zabezpieczenia nośników z danymi przekazywanymi poza obszar przetwarzania danych (dla danych wrażliwych). Projekt jest współfinansowany ze środków Unii Europejskiej w ramach Europejskiego Funduszu Społecznego

Obowiązki administratora – rejestracja zbioru danych Obowiązek zgłoszenia zbioru danych do rejestracji (art. 40) Zwolnienia z obowiązku rejestracji (art. 43 ust.1) Warunki formalne zgłoszenia (art. 41 ust. 1) Obowiązek zgłoszenia zmian z zbiorze (art. 41 ust. 2) Przesłanki wydania decyzji o odmowie rejestracji zbioru danych (art. 44) Projekt jest współfinansowany ze środków Unii Europejskiej w ramach Europejskiego Funduszu Społecznego

Przepisy karne przetwarzanie w zbiorze danych, choć ich przetwarzanie nie jest dopuszczalne albo bez uprawnienia (art. 49) udostępnienie danych lub umożliwienie dostępu do nich osobom nieupoważnionym przez administrującego zbiorem lub będącego obowiązanym do ochrony danych (art. 51) utrudnianie lub udaremnianie wykonywania czynności kontrolnych (art. 54a) naruszenie przez administrującego danymi choćby nieumyślnie obowiązku zabezpieczenia danych przed zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem (art. 52) niezgłoszenie do rejestracji zbioru danych (art. 53) niedopełnienie przez administrującego zbiorem obowiązku poinformowania osoby, której dane dotyczą, o jej prawach lub przekazania tej osobie informacji umożliwiających korzystanie z praw przyznanych jej w niniejszej ustawie (art. 54) Projekt jest współfinansowany ze środków Unii Europejskiej w ramach Europejskiego Funduszu Społecznego

Dziękuję za uwagę