DOKUMENTACJA OCHRONY DANYCH OSOBOWYCH dr hab. Mariusz Jagielski

Slides:



Advertisements
Podobne prezentacje
Kpt. mgr inż. Maciej Hamerski Wydział Kontrolno-Rozpoznawczy Komenda Miejska PSP w Olsztynie Ocena zgodności wyrobów budowlanych przeznaczonych do ochrony.
Advertisements

POSTĘPOWANIE KONTROLNE
ZADANIA DYREKTORA SZKOŁY/PLACÓWKI W NOWYM NADZORZE PEDAGOGICZNYM opracowanie: Władysława Tkaczyk st. wizytator.
przeprowadzonych w przedszkolach województwa wielkopolskiego
Organizacja nadzoru pedagogicznego w roku szkolnym 2010/2011.
Kompleksowe zarządzanie bezpieczeństwem informacji
Kontrola zarządcza w jednostkach sektora finansów publicznych
Michał Sztąberek iSecure Sp. z o.o.
Platforma A2A PA2A.
PODSYSTEM MONITOROWANIA EUROPEJSKIEGO FUNDUSZU SPOŁECZNEGO - PEFS
Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych
Eksploatacja zasobów informatycznych przedsiębiorstwa
Nowy nadzór pedagogiczny Białystok, dnia r.
Aktualne zagadnienia prawne.
BEZPIECZEŃSTWO PLACU ZABAW I GIER
UDZIAŁ WOJEWODY W PROCEDURZE ZWIĄZANEJ
Szkolenie w zakresie ochrony danych osobowych
Środki bezpieczeństwa
Urząd Marszałkowski w Łodzi
Bezpieczeństwo danych przetwarzanych w podmiotach leczniczych
AKREDYTACJA LABORATORIUM Czy warto
Działanie 111 Szkolenia zawodowe dla osób zatrudnionych w rolnictwie i leśnictwie PROW 2007 – 2013.
BEZPIECZEŃSTWO ELEKTRONICZNYCH DANYCH MEDYCZNYCH
Informatyzacja Urzędu – Obowiązki Prawne
Ochrona danych osobowych
Dyrektor Departamentu Orzecznictwa, Legislacji i Skarg
Usługi BDO - odpowiedź na realne potrzeby rynku
Justyna Gryz Jacek Losiak Michał Borsuk Adam Dargacz
Quo Vadis ? 50 lat kodeksu cywilnego
USTAWA z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych
VIII. POSTĘPOWANIE ADMINISTRACYJNE Zmierza do wymuszenia na administratorze realizacji obowiązków nałożonych prawem.
Aleph Raporty, raport danych osobowych, ubytki OPAC.
Ochrona danych osobowych i informacji niejawnych
KONTROLA ZARZĄDCZA - 1 Kontrolę zarządczą stanowi ogół
Zgłaszanie prac geodezyjnych
USTAWA z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych
ETAPY WDROŻENIE SYSTEMU ELEKTRONICZNEGO ZARZĄDZANIA DOKUMENTACJĄ
Ergonomia procesów informacyjnych
Eksploatacja zasobów informatycznych przedsiębiorstwa.
Ocena jakości systemów informacyjnych (aspekt eksploatacyjny)
Narada z przedstawicielami komend wojewódzkich PSP, szkół PSP oraz CMP odpowiedzialnymi za archiwizację dokumentacji Częstochowa, dnia maja 2015.
SYSTEM ZARZĄDZANIA BEZPIECZEŃSTWEM INFORMACJI- wymagania normy ISO 27001:2007 Grażyna Szydłowska.
Eksploatacja zasobów informatycznych przedsiębiorstwa.
USTAWA z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych
Rodzaje dokumentów biurowych
Moduł e-Kontroli Grzegorz Dziurla.
Dokumenty jako dowód w postępowaniu administracyjnym
OCHRONA DANYCH OSOBOWYCH dr hab. Mariusz Jagielski
POLITYKA BEZPIECZEŃSTWA. Podstawa prawna: §3 i §4 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r., w sprawie dokumentacji.
OCHRONA DANYCH OSOBOWYCH NA UCZELNI
Monitoring efektów realizacji Projektu PL0100 „Wzrost efektywności działalności Inspekcji Ochrony Środowiska, na podstawie doświadczeń norweskich” Ołtarzew:
O nowych zadaniach nauczyciela matematyki w kontek ś cie wyboru podr ę czników i programów nauczania.
Kontrola zarządcza w jednostce budżetowej
DOKUMENTACJA OCHRONY DANYCH OSOBOWYCH dr hab. Mariusz Jagielski
USTAWA z dnia 29 stycznia 2004 r. Prawo zamówień publicznych (Dz. U. z 2007 r. Nr 223, poz ze zmianami)
System ochrony danych osobowych a System zarządzania bezpieczeństwem informacji - w kontekście Rozporządzenia o Krajowych Ramach Interoperacyjności i normy.
Program Rozwoju Obszarów Wiejskich Wsparcie przygotowawcze dla LGD Lublin Urząd Marszałkowski Województwa Lubelskiego w Lublinie Departament.
Rada szkoleniowa „Cyfrowe bezpieczeństwo danych osobowych w szkole”
Ochrona danych osobowych w placówce oświatowej Obowiązki, zadania i uprawnienia dyrektora placówki Warsztat specjalistyczny 2014.
NAJWAŻNIEJSZE AKTY PRAWNE WYKONAWCZE DO USTAWY Z 29 SIERPNIA 1997 ROKU O OCHRONIE DANYCH OSOBOWYCH.
ZASADY POSTĘPOWANIA Z DOKUMENTAMI W POLITECHNICE GDAŃSKIEJ
DOKUMENTACJA PROCESU KSZTAŁCENIA
Rozporządzenie Ministra Edukacji Narodowej z dnia 27 października 2009 r. w sprawie wymagań, jakim powinna odpowiadać osoba zajmująca stanowisko dyrektora.
Co się zmienia w systemie ochrony danych osobowych w świetle RODO
Kontrole okresowe przewodów kominowych.
Przetwarzanie danych osobowych - dokumentacja
Zmiany związane z wejściem w życie Rozporządzenia o Ochronie Danych Osobowych (RODO) stosowane od dnia r.
Ochrona danych osobowych w placówce oświatowej
Prezentacja wspomagająca dla: Dyrektorów OE
Zapis prezentacji:

DOKUMENTACJA OCHRONY DANYCH OSOBOWYCH dr hab. Mariusz Jagielski Wydział Prawa i Administracji DOKUMENTACJA OCHRONY DANYCH OSOBOWYCH dr hab. Mariusz Jagielski

Jakie dokumenty, od kiedy i na kiedy? a. Polityka bezpieczeństwa informacji – 2004 r.; b. Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych – 2004 r.;

c. Indywidualne upoważnienia do przetwarzania danych osobowych nadane przez administratora każdej osobie, która bierze udział w procesie przetwarzania danych osobowych – 2004 r.; d. Potwierdzenie zobowiązania do zachowania danych oraz sposobu ich zabezpieczenia w tajemnicy – 2004 r.; e. Ewidencja osób upoważnionych do przetwarzania danych osobowych – 2004 r.;

f. Plan sprawdzeń zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych – nowe 2015! – niezwłocznie; g. Programy poszczególnych sprawdzeń zaplanowanych zgodnie z planem sprawdzeń – nowe 2015! – zgodnie z planem sprawdzeń, na co najmniej 7 dni przed podjęciem planowanych czynności;

h. Alternatywnie (w zależności od tego czy został powołany ABI): Jest ABI: Sprawozdania z poszczególnych sprawdzeń – nowe 2015! – najpóźniej 30 dni po przeprowadzeniu sprawdzenia; Brak ABI: Dokumentacja poszczególnych sprawdzeń – nowe 2015! – niezwłocznie po przeprowadzeniu sprawdzenia;

i. Potwierdzenie zapoznania z przepisami o ochronie danych osobowych – nowe 2015! – niezwłocznie.

Ad. a) Polityka bezpieczeństwa Musi być na piśmie Stanowi połączenie dokumentu programowego i prawnego – ma mieć charakter opisowy, nie tylko wyjaśniać zasady, ale też przekonywać do ich stosowania.

Charakter polityki bezpieczeństwa Polityka bezpieczeństwa powinna odnosić się całościowo do problemu zabezpieczenia danych osobowych u administratora danych tj. zarówno do zabezpieczenia danych przetwarzanych tradycyjnie jak i danych przetwarzanych w systemach informatycznych.

Szczególna treść polityka bezpieczeństwa 1. Określenie miejsc, zbiorów i systemów informatycznych, w których przetwarzane są dane osobowe, opis ich struktury oraz wzajemnych powiązań (sposobu przepływu danych);

2. Ustanowienie zasad i reguł postępowania, które należy stosować, aby właściwie wykonać obowiązki administratora danych w zakresie ich zabezpieczenia (w szczególności chodzi o zapewnienie poufności, integralności i rozliczalności).

Zakres określa … §4 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r., w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100 poz. 1024)

Ad. b) Instrukcja Musi być na piśmie Stanowi zestaw procedur, które należy stosować – czyli jest wewnętrznym aktem prawnym.

Charakter instrukcji Odnosi się do danych przetwarzanych w systemie informatycznym (nie dotyczy przetwarzania tradycyjnego)

Szczególna treść instrukcji Poszczególne procedury: nadawania uprawnień; uwierzytelniania; rozpoczęcia, zawieszenia i zakończenia pracy; tworzenia kopii zapasowych; procedury wykonywania przeglądów i konserwacji; itd. ….

Zakres określa … §5 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r., w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100 poz. 1024)

Ad. c) Upoważnienia do przetwarzania danych osobowych Każda osoba biorąca udział w procesie przetwarzania musi być zidentyfikowana i otrzymać indywidualne upoważnienie; Upoważnienie nie może być blankietowe – musi z niego wynikać jakie uprawnienia w zakresie przetwarzania ma upoważniony.

Ad. d) Zobowiązanie do zachowania danych oraz sposobu ich zabezpieczenia w tajemnicy Ma charakter indywidualny (podobnie jak upoważnienie); W praktyce najprościej połączyć je z upoważnieniem do przetwarzania danych osobowych.

Ad. e) Ewidencja upoważnień Powinna zapewnić orientację w zakresie tego kto do jakich zasobów danych ma dostęp. UWAGA! Wdrożyć procedury aktualizacyjne i opisać je w Polityce bezpieczeństwa.

Ad. f) Plan sprawdzeń – nowe 2015! Nowelizacja uodo zobowiązała administratorów do dokonywania okresowych samokontroli w zakresie zapewnienia przestrzegania przepisów o ochronie danych osobowych. Oficjalna nazwa - sprawdzenia

Częstotliwość i terminy - nowe 2015! Plan sprawdzeń jest przygotowany na maksimum 1 rok - w tym czasie minimum 1 pełne sprawdzenie. Plan musi być przedstawiony administratorowi na 2 tygodnie przed rozpoczęciem sprawdzenia. Można sprawdzać się częściej – minimalny czasookres planu to 1 kwartał.

Treść - nowe 2015! Plan sprawdzeń określa: przedmiot poszczególnych sprawdzeń, zakres czynności, które będą podjęte w toku sprawdzenia oraz termin przeprowadzenia sprawdzenia.

Możliwości - nowe 2015! Można zaplanować jedno całościowe sprawdzenie lub kilka sprawdzeń cząstkowych. Przykładowo, dotyczących poszczególnych systemów (np. monitoring wizyjny), jednostek (np. kadry) lub czynności przetwarzania (np. udostępnianie danych).

Ad. g) Programy poszczególnych sprawdzeń – nowe 2015! Dla każdego sprawdzenia określonego planem przygotowuje się program sprawdzenia, który określa: zakres czynności oraz sposób ich dokumentowania.

Zakres czynności - nowe 2015! Jakie elementy systemu przetwarzania będą podlegać sprawdzeniu.

Metody dokumentowania - nowe 2015! 1) notatki z czynności; 2) protokoły odebrania ustnych wyjaśnień; 3) protokoły z oględzin; 4) kopie otrzymanych dokumentów. Sposób dokumentowania może być zarówno elektroniczny, jak i „papierowy”.

Terminy - nowe 2015! Zgodnie z planem sprawdzeń, na co najmniej 7 dni przed podjęciem planowanych czynności

Ad. h) Sprawozdanie// //dokumentacja sprawdzenia – nowe 2015! Dokument zestawiający wyniki sprawdzenia. Szczegóły: art. 36c uodo.

W skrócie - nowe 2015! wykaz podjętych czynności; opis stanu faktycznego stwierdzonego w toku sprawdzenia; stwierdzone przypadki naruszenia przepisów; planowane lub podjęte działania przywracające stan zgodny z prawem.

Z ABI - nowe 2015! Plan sprawdzeń, program sprawdzeń i sprawozdania z poszczególnych sprawdzeń przygotowuje ABI (formalnie dla administratora). Termin przygotowania sprawozdania – 30 dni od zakończenia sprawdzenia.

Bez ABI - nowe 2015! Plan sprawdzeń i programy poszczególnych sprawdzeń przygotowuje sam administrator. Zamiast sprawozdania przygotowuje dokumentację sprawdzeń (na potrzeby kontroli GIODO). Termin przygotowania dokumentacji sprawdzenia – niezwłocznie.

Ad. i) Potwierdzenie zapoznania z przepisami o ochronie danych osobowych – nowe 2015! Kto? Wszystkie osoby, które zostały upoważnione do przetwarzania danych; Jak? Brak wskazania – decyduje administrator

Co warto? 1. Dołączyć odpowiednie oświadczenie do upoważnienia do przetwarzania danych. (upoważnienie do przetwarzania danych – zobowiązanie do zachowania poufnosci – oświadczenie o zapoznaniu się z przepisami) 2. Uwzględnić w ramach sprawozdania//dokumentacji ze sprawdzenia, czyli krótkie szkolenie w ramach samokontroli - nowe 2015!

dr hab. Mariusz Jagielski Dziękuję za uwagę dr hab. Mariusz Jagielski mariusz.jagielski@us.edu.pl