Uniwersytet Marii Curie-Skłodowskiej w Lublinie

Slides:



Advertisements
Podobne prezentacje
Wyciąg z dokumentacji związanej z ochroną danych osobowych uczestników projektu Akademia uczniowska przetwarzanych w ramach zbioru PEFS 2007 i obowiązującej.
Advertisements

Katowice, dnia 2 października 2012 roku
[Main presentation title here – Verdana – 16 font]
Kompleksowe zarządzanie bezpieczeństwem informacji
Michał Sztąberek iSecure Sp. z o.o.
Rodzaje danych i podstawy prawne ich przetwarzania w branży ubezpieczeniowej adw. dr Paweł Litwiński 1 1.
Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych
Ochrona danych osobowych
Aktualne zagadnienia prawne.
Niektóre procedury wynikające z przepisów prawa, przy bieżącej aktualizacji ewidencji gruntów i budynków, dokonywanej przez starostów. Zgłoszenia zmiany,
„Ochrona osób, mienia, obiektów i obszarów”
Szkolenie w zakresie ochrony danych osobowych
Prawodawstwo w zakresie gospodarki odpadami
REJESTR DZIAŁAŃ RATOWNICZYCH
Środki bezpieczeństwa
OCHRONA DANYCH OSOBOWYCH Dr hab. Mariusz Jagielski
PAŃSTWOWA INSPEKCJA SANITARNA
Ustawa o swobodzie działalności gospodarczej
1. 2 Elektroniczna Dystrybucja Informacji EDI, format XML Wydział Prawa i Administracji Pracownia Komputerowa.
Ochrona danych osobowych
Dyrektor Departamentu Orzecznictwa, Legislacji i Skarg
Usługi BDO - odpowiedź na realne potrzeby rynku
OCHRONA DANYCH OSOBOWYCH Dr hab. Mariusz Jagielski
VIII. POSTĘPOWANIE ADMINISTRACYJNE Zmierza do wymuszenia na administratorze realizacji obowiązków nałożonych prawem.
Założenia do projektu ustawy o czasie pracy maszynistów
Pracownicze dane osobowe
Ochrona danych osobowych i informacji niejawnych
KONTROLA ZARZĄDCZA - 1 Kontrolę zarządczą stanowi ogół
Ochrona danych osobowych i informacji niejawnych
Zgłaszanie prac geodezyjnych
OCHRONA DANYCH OSOBOWYCH Dr hab. Mariusz Jagielski
Ocena jakości systemów informacyjnych (aspekt eksploatacyjny)
Zmiana imienia i nazwiska
Szkolenie Ochrona danych osobowych
USTAWA z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych
Dokumenty jako dowód w postępowaniu administracyjnym
Prawo własności przemysłowej? Prawo mienia przemysłowego? Prawo dóbr przemysłowych? Dz.U USTAWA z dnia 30 czerwca 2000 r. Prawo własności przemysłowej.
DOKUMENTACJA OCHRONY DANYCH OSOBOWYCH dr hab. Mariusz Jagielski
OCHRONA DANYCH OSOBOWYCH NA UCZELNI
UMOWY O PRACĘ – ZMIANY.
Reglamentacja procesu budowy
Ochrona danych osobowych i konsekwencje jej nieprzestrzegania
USTAWA z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych
Bezpieczeństwo informacyjne i informatyczne państwa
Prawa człowieka i systemy ich ochrony
System ochrony danych osobowych a System zarządzania bezpieczeństwem informacji - w kontekście Rozporządzenia o Krajowych Ramach Interoperacyjności i normy.
Rada szkoleniowa „Cyfrowe bezpieczeństwo danych osobowych w szkole”
OCHRONA INFORMACJI NIEJAWNYCH podstawowe pojęcia i wymagania Warszawa, 15 marca 2016 r. mgr inż. Zbysław Antoni KUCZA.
NAJWAŻNIEJSZE AKTY PRAWNE WYKONAWCZE DO USTAWY Z 29 SIERPNIA 1997 ROKU O OCHRONIE DANYCH OSOBOWYCH.
Pracownicze dane osobowe
Lekarska ambulatoryjna opieka rehabilitacyjna
Udostępnianie dokumentacji w archiwum wyodrębNionym – do celów służbowych i naukowo-badawczych mgr Klaudia Banach.
Rozporządzenie Ministra Edukacji Narodowej z dnia 27 października 2009 r. w sprawie wymagań, jakim powinna odpowiadać osoba zajmująca stanowisko dyrektora.
Problematykę ochrony osób, mienia i informacji niejawnych normują:
TRANSPORTOWY DOZÓR TECHNICZNY
TEMAT KLASYFIKOWANIE INFORMACJI NIEJAWNYCH. KLAUZULE TAJNOŚCI
MINISTERSTWO OBRONY NARODOWEJ
Wydział Prawa, Administracji i Ekonomii
OCHRONA DANYCH OSOBOWYCH
Odpowiedzialność za naruszenie przepisów o ochronie informacji niejawnych Ustawa o ochronie informacji niejawnych, mimo uregulowania wielu najistotniejszych.
CENTRUM KSZTAŁCENIA PODYPLOMOWEGO PIELĘGNIAREK I POŁOŹNYCH
Przetwarzanie danych osobowych - dokumentacja
Zmiany związane z wejściem w życie Rozporządzenia o Ochronie Danych Osobowych (RODO) stosowane od dnia r.
Ochrona danych osobowych w placówce oświatowej
Ochrona baz danych.
Podstawy prawa pracy Zajęcia nr 1.
Podstawy prawa pracy i Zabezpieczenia społecznego
OCHRONA DANYCH OSOBOWYCH Andrzej Rybus-Tołłoczko
Wyniki kontroli Warszawa, czerwiec 2019 r..
Zapis prezentacji:

Uniwersytet Marii Curie-Skłodowskiej w Lublinie Szkolenie z zakresu: OCHRONA DANYCH OSOBOWYCH – WYMOGI PRAWNE, TECHNICZNE I ORGANIZACYJNE PO ZMIANACH PRZEPISÓW. OCHRONA INFORMACJI. Uniwersytet Marii Curie-Skłodowskiej w Lublinie

Źródła prawa Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tj. Dz. U. 2014, poz. 1182 z późn. zm.), Ustawa z dnia 23 kwietnia 1964 r. Kodeks cywilny (Dz.U. 2014, poz. 121), Ustawa z dnia 6 czerwca 1997 r. Kodeks karny (Dz. U. 1997, Nr 88, poz. 553 z późn. zm.), Ustawa z dnia 26 czerwca 1974 r. Kodeks pracy (Dz. U. 2014, poz. 1502 z późn. zm.), Ustawa z dnia 16 kwietnia 1993 r. o zwalczaniu nieuczciwej konkurencji (Dz. U. 2003, Nr 153, poz. 1503 z późn. zm.), Ustawa z dnia 6 września 2001 r. o dostępie do informacji publicznej (Dz. U. 2014, poz. 782 z późn. zm.), Ustawa z dnia 4 lutego 1994 r. o prawie autorskim i prawach pokrewnych (Dz. U. 2006, Nr 90, poz. 631 z późn. zm.), Ustawa z dnia 22 sierpnia 1997 r. o ochronie osób i mienia (Dz. U. 2014, poz. 1099), Ustawa z dnia 27 lipca 2001 r. o ochronie baz danych (Dz. U. 2001, Nr 128, poz. 1402 z późn. zm.), Ustawa z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (Dz. U. 2013, poz. 1422),

Źródła prawa cd. Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbiorów danych (Dz. U. 2015, poz. 719), Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie trybu i sposobu realizacji zadań w celu zapewnienia przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji (Dz. U. 2015, poz. 745), Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 10 grudnia 2014 r. w sprawie wzorów zgłoszeń powołania i odwołania administratora bezpieczeństwa informacji (Dz.U. 2014, poz. 1934), Rozporządzenie MSWiA z dnia 11 grudnia 2008 roku w sprawie wzoru zgłoszenia zbioru do rejestracji GIODO (Dz. U. 2008, Nr 229, poz. 1536), Rozporządzenie MSWiA z dnia 29 kwietnia 2004 roku w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. 2004, Nr 100, poz. 1024), Konwencja Nr 108 Rady Europy o ochronie osób w związku z automatycznym przetwarzaniem danych osobowych. (Dz. U. 2003, Nr 3, poz. 25 z późn. zm.), Dyrektywa Parlamentu Europejskiego i Rady Unii Europejskiej 95/46/WE z dnia 24 październik 1995 r. o ochronie osób w związku z przetwarzaniem ich danych osobowych oraz w sprawie swobodnego przepływu tych danych, Inne przepisy w tym szczegółowe stanowiące podstawę przetwarzania danych osobowych np. Prawo o szkolnictwie wyższym, ustawa o policji, ustawa o straży granicznej.

„Każdy ma prawo do ochrony prawnej życia prywatnego” Art. 47 Konstytucji RP „Nikt nie może być obowiązany inaczej niż na podstawie ustawy do ujawniania informacji dotyczących jego osoby” Art. 51 ust. 1 Konstytucji RP dotyczących go danych osobowych” Art. 1 ust. 1 Ustawy o ochronie danych osobowych

Ustawa o Ochronie Danych Osobowych Jest najważniejszym aktem normującym zasady postępowania przy przetwarzaniu danych osobowych Stosuje się ją do przetwarzania danych w każdej formie i postaci, w tym w: kartotekach, skorowidzach, księgach, wykazach i innych zbiorach ewidencyjnych prowadzonych w postaci papierowej, systemach informatycznych, także w przypadku przetwarzania danych osobowych poza zbiorem; W odniesieniu do zbiorów sporządzanych doraźnie, wyłącznie ze względów technicznych, szkoleniowych, a po ich wykorzystaniu niezwłocznie usuwanych stosuje się jedynie przepisy dotyczące zabezpieczenia danych.

Czy Uniwersytet podlega Ustawie? TAK, ponieważ stosuje się ją do: organów państwowych, samorządu terytorialnego, państwowych i komunalnych jednostek organizacyjnych, podmiotów niepublicznych realizujących zadania publiczne, osób fizycznych i prawnych oraz jednostek organizacyjnych niebędących osobami prawnymi, jeżeli przetwarzają dane w związku z prowadzoną działalnością zarobkową, zawodową lub dla realizacji celów statutowych, osób i podmiotów, które mają siedzibę albo miejsce zamieszkania na terenie RP lub w państwie trzecim, o ile przetwarzają dane przy wykorzystaniu środków technicznych znajdujących się na terytorium RP.

Ustawy nie stosuje się w przypadku: osób fizycznych, które przetwarzają dane wyłącznie w celach osobistych lub domowych, prasowej działalności dziennikarskiej, literackiej lub artystycznej, chyba że wolność wyrażania swoich poglądów lub informacji istotnie narusza prawa i wolności osoby, której dane dotyczą, osób zmarłych.

Każdego dnia stykamy się z wieloma informacjami IMIĘ PESEL – czy to są dane osobowe? WIZERUNEK TAK, jeżeli dotyczą: osoby fizycznej, zidentyfikowanej lub możliwej do zidentyfikowania, Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez nr identyfikacyjny albo jeden lub kilka czynników określających jej cechy fizyczne, umysłowe, ekonomiczne itp. Informacji nie uważa się za umożliwiającą określenie tożsamości, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań. MAJĄTEK NAZWISKO ADRES NIP WIEK E-MAIL RODZINA ZAROBKI

Rodzaje danych osobowych Dane zwykłe Dane wrażliwe Ustawa nie określa katalogu tych danych, są to wszelkie dane nie będące danymi wrażliwymi. Dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, a także dane o stanie zdrowia, chorobach, kodzie genetycznym, nałogach, życiu seksualnym, skazaniach i innych nałożonych karach.

Czy wiesz, że: zbiór danych – to każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych wg określonych kryteriów, niezależnie od tego czy zestaw ten jest rozproszony lub podzielony funkcjonalnie (w różnych lokalizacjach, systemach), przetwarzanie danych – oznacza jakiekolwiek operacje wykonywane na danych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, zwłaszcza te, które wykonuje się w systemach, usuwanie danych – to zniszczenie lub taka modyfikacja danych, która nie pozwoli na ustalenie tożsamości osoby, Administrator Danych Osobowych (ADO) – to organ, jednostka organizacyjna, podmiot lub osoba decydująca o celach i środkach przetwarzania danych, czyli m.in. uniwersytet Administrator Bezpieczeństwa Informacji (ABI) – to osoba nadzorująca przetwarzanie danych osobowych u ADO.

Czy wiesz, że: Dane przechowywane w Twojej szafie, o których już nawet nie pamiętasz i nic z nimi nie robisz to też przetwarzanie danych. Jeżeli chcesz wykorzystać dane osobowe studentów, pracowników, współpracowników musisz mieć do tego podstawę albo w przepisach prawa, zawartej umowie, albo posiadać zgodę osoby, której dane dotyczą. Zgoda osoby, której dane dotyczą – oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie; zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści, zgoda może być odwołana w każdym czasie.

Do przetwarzania danych wystarczy jedna. Dane zwykłe Ustawowe przesłanki przetwarzania Przetwarzanie danych osobowych może mieć miejsce, gdy: osoba, której dane dotyczą, wyrazi pisemną zgodę na ich przetwarzanie (nie dotyczy usunięcia danych), jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisów prawa, jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą, jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego, jest to niezbędne do wypełnienia prawnie usprawiedliwionych celów realizowanych przez Administratora Danych Osobowych lub odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą. Każda z przesłanek jest autonomiczna. Do przetwarzania danych wystarczy jedna.

Dane wrażliwe/sensytywne Ustawowe przesłanki przetwarzania Przetwarzanie danych osobowych wrażliwych dopuszczalne jest m.in. gdy: osoba, której dane dotyczą, wyrazi na to zgodę na piśmie, chyba że chodzi o usunięcie danych, przepis szczególny innej ustawy zezwala na przetwarzanie danych bez zgody osoby, której dane dotyczą, i stwarza pełne gwarancje ich ochrony, przetwarzanie dotyczy danych, które są niezbędne do dochodzenia praw przed sądem, przetwarzanie jest niezbędne do wykonania zadań administratora odnoszących się do zatrudnienia, a zakres przetwarzanych danych jest określony w ustawie, Przetwarzanie jest prowadzone w celu ochrony stanu zdrowia, świadczenia usług medycznych lub leczenia pacjentów przez osoby trudniące się zawodowo leczeniem lub świadczeniem innych usług medycznych, Jest to niezbędne do prowadzenia badań naukowych, w tym przygotowania rozprawy wymaganej do uzyskania dyplomu ukończenia szkoły wyższej lub stopnia naukowego, przy czym publikowanie wyników nie może identyfikować osób. Każda z przesłanek jest autonomiczna. Do przetwarzania danych wystarczy jedna.

Obowiązki Uniwersytetu jako Administratora Danych Osobowych Organizacja właściwego zabezpieczenia danych osobowych przetwarzanych w Uniwersytecie; Realizacja obowiązków wynikających z Ustawy o ochronie danych osobowych, w tym: opracowanie dokumentacji z zakresu ochrony danych osobowych, rejestracja w GIODO zbiorów danych osobowych sensytywnych; Zapewnienie środków i organizacyjnej odrębności ABI niezbędnej do niezależnego wykonywania jego zadań.

Obowiązki ABI Zapewnienie przestrzegania przepisów o ochronie danych osobowych, w szczególności przez: sprawdzanie zgodności przetwarzania danych z przepisami (audyty wewnętrzne planowe i doraźne) i opracowywanie w tym zakresie sprawozdań dla ADO, nadzorowanie opracowania i aktualizowania dokumentacji opisującej sposób przetwarzania danych, zapewnienie zapoznania osób upoważnionych do przetwarzania danych z przepisami; Prowadzenie jawnego rejestru zbiorów danych osobowych przetwarzanych przez ADO; Dokonywanie sprawdzeń na zlecenie GIODO.

Odpowiedzialność z tytułu prawidłowości postępowania z danymi osobowymi oraz informacjami chronionymi Rektor Uniwersytetu jako osoba decydująca o celach i środkach przetwarzania danych i informacji prawnie chronionych, reprezentujący Administratora Danych Osobowych będącego podmiotem administrującym danymi osobowymi i zbiorami tych danych, Administrator Bezpieczeństwa Informacji - w związku z zadaniami mającymi na celu organizację ochrony danych osobowych oraz informacji prawnie chronionych, a także prowadzonym nadzorem nad przestrzeganiem zasad przetwarzania i zabezpieczenia danych osobowych,

Odpowiedzialność z tytułu prawidłowości postępowania z danymi osobowymi oraz informacjami chronionymi cd. Kierownik jednostki organizacyjnej – z tytułu zarządzania jednostką oraz pełnionego nadzoru nad podległymi pracownikami, Dyrektor LubMAN UMCS - jako osoba odpowiedzialna za wdrożenie zasad i wymogów wynikających z obowiązujących przepisów prawa oraz aktów prawnych wewnętrznych z zakresu IT, Administrator Systemu Informatycznego - w związku z bieżącym funkcjonowaniem systemu informatycznego oraz dostosowaniem go do wymogów bezpieczeństwa, Pracownik – jako osoba upoważniona do przetwarzania danych osobowych oraz informacji prawnie chronionych w zakresie powierzonych obowiązków służbowych.

Jesteś kierownikiem? Sprawdź czy podlegli Tobie pracownicy: odbyli szkolenie z zakresu ochrony danych osobowych oraz bezpieczeństwa informacji i potwierdzili przedmiotowy fakt podpisując oświadczenie z zakresu ochrony informacji i danych, które przechowywane jest w aktach osobowych pracownika w komórce kadrowej, posiadają indywidualne zakresy obowiązków, w których określone są ich aktualne obowiązki, uprawnienia i odpowiedzialności w zakresie ochrony danych osobowych oraz bezpieczeństwa informacji, znają i stosują zasady postępowania z danymi osobowymi oraz informacjami chronionymi, w szczególności w zakresie ich zabezpieczenia i wykorzystywania, może konieczne jest powtórzenie szkolenia z przedmiotowego zakresu, posiadają uprawnienia wyłącznie do tych danych, które są im niezbędne do realizacji zleconych im obowiązków i zadań.

Jesteś kierownikiem? Pamiętaj: Jako kierownik jesteś odpowiedzialny za wdrożenie zasad ochrony danych osobowych oraz bezpieczeństwa informacji w podległej jednostce oraz bieżący nadzór nad ich przestrzeganiem przez pracowników. Zobowiązany jesteś także do: informowania ABI o wszelkich zmianach i naruszeniach w zakresie przetwarzania danych osobowych i bezpieczeństwa informacji, współpracy z ABI w zakresie prowadzonych przez niego czynności.

UWAGA !!! Zgodnie z obowiązującymi w oparciu o Regulamin Ochrony Danych Osobowych zasadami Kierownik odpowiada za zgodność tworzonych w nadzorowanej jednostce aktów prawnych wewnętrznych z przepisami oraz wskazanym powyżej Regulaminem, a także uzgodnienie opracowywanych aktów i umów związanych z przetwarzaniem danych osobowych z ABI, w przypadku jakichkolwiek wątpliwości w zakresie ich brzmienia. Co oznaczają zapisy te w praktyce? ABI opiniuje opracowywane wzory np. projekt umowy związanej z dostępem kontrahenta do danych osobowych administrowanych przez Uniwersytet, w przypadku skierowania go do opinii ABI.

Jesteś pracownikiem ?? Ponosisz indywidualną odpowiedzialność z tytułu przetwarzania danych osobowych oraz informacji chronionych Jesteś odpowiedzialny za bezpieczeństwo danych osobowych oraz informacji, do których masz dostęp, Masz obowiązek zachowania w tajemnicy danych osobowych oraz informacji chronionych, zarówno w trakcie trwania zatrudnienia, jak i po jego ustaniu, Zobowiązany jesteś do zabezpieczenia danych osobowych i ich ochrony przed niepowołanym dostępem, nieuzasadnioną modyfikacją lub zniszczeniem, nielegalnym ujawnieniem lub pozyskaniem przez osoby niepowołane, Masz obowiązek „szczególnej staranności” i wykorzystywania udostępnionych Ci danych i informacji wyłącznie do celów służbowych.

Masz problem lub wątpliwości skontaktuj się z ABI Jesteś pracownikiem ?? Pamiętaj: Każdy pracownik, który przetwarza dane osobowe bez upoważnienia lub ujawnia dane osobowe albo nienależycie zabezpiecza je przed osobami nieuprawnionymi, podlega odpowiedzialności karnej przewidzianej w Ustawie z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, Ponosisz z tytułu przetwarzania danych i informacji prawnie chronionych odpowiedzialność dyscyplinarną i prawną za zaniedbanie swoich obowiązków lub przekazanie swoich przywilejów innej osobie. Masz problem lub wątpliwości skontaktuj się z ABI

Dane osobowe Komu możemy udostępniać? Osobie, której dane dotyczą – w terminie 30 dni od wystąpienia o udzielenie informacji odnośnie jej danych, w zakresie którego dotyczy wniosek. ADO ma obowiązek poinformować m.in.: o fakcie przetwarzania danych (czy istnieje zbiór danych), pełnej nazwie i adresie siedziby Administratora Danych Osobowych, celu przetwarzania danych, zakresu przetwarzanych danych, sposobu przetwarzania danych, dacie, od kiedy dane są przetwarzane przez Administratora Danych Osobowych (dacie włączenia do zbioru), źródle danych, chyba że Administrator Danych Osobowych zobowiązany jest do zachowania w tym zakresie tajemnicy, sposobie udostępniania danych oraz odbiorcach lub kategoriach odbiorców, którym dane są udostępniane,

Dane osobowe Komu możemy udostępniać? cd. Osobom lub podmiotom uprawnionym do otrzymania informacji na podstawie obowiązujących przepisów prawa, Innym osobom i podmiotom za zgodą osoby, której dane dotyczą. UWAGA Należy odnotowywać fakt udostępnienia danych w systemie, a jeżeli nie ma takiej możliwości prowadzić ewidencję udostępniania danych osobowych. Masz wątpliwości czy udostępnić dane – skontaktuj się z ABI !

Przekazywanie danych osobowych Do państwa trzeciego Może nastąpić jeżeli państwo docelowe zapewnia na swoim terytorium odpowiedni poziom ochrony, Osoba, której dane dotyczą udzieliła na to zgody na piśmie, Przekazanie jest niezbędne do wykonywania umowy pomiędzy ADO a osobą której dane dotyczą, lub na jej życzenie, Jest niezbędne do wykonania umowy zawartej w interesie osoby, której dane dotyczą Jeżeli jest niezbędne ze względu a dobro publiczne lub do wykazania zasadności roszczeń prawnych, Jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, Dane są ogólnodostępne, Jeżeli ADO zawrze w umowie standardowe klauzule umowne zatwierdzone przez Komisję Europejską, W pozostałych przypadkach wymagana jest zgoda GIODO. UWAGA Szczegółowe procedury w zakresie przekazywania danych osobowych do państwa trzeciego należy każdorazowo ustalać z ABI.

Prawa osób, których dane dotyczą kontrola sposobu przetwarzania danych osobowych, żądanie uzupełnienia, uaktualnienia, modyfikacji, sprostowania danych, a także czasowego lub stałego wstrzymania przetwarzania danych lub ich usunięcia w przypadkach przewidzianych Ustawą, wniesienie pisemnego, umotywowanego żądania zaprzestania przetwarzania danych ze względu na szczególną sytuację, w przypadku przetwarzania tych danych, gdy: jest to niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego, jest to niezbędne do wypełnienia prawnie usprawiedliwionych celów realizowanych przez Administratora Danych Osobowych lub odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.

Czy można przekazywać dane osobowe podmiotom zewnętrznym? TAK Można powierzyć przetwarzanie danych osobowych podmiotowi realizującemu określone usługi na rzecz ADO w drodze, zawartej na piśmie, umowy, W umowie powierzenia przetwarzania danych osobowych należy określić m.in.: zakres i cel przetwarzania danych, wymogi dotyczące zabezpieczenia, sposób realizacji procesu zarządzania uprawnieniami, prawo kontroli sposobu przetwarzania danych przez ADO lub podmiot zewnętrzny działający na jego zlecenie, odpowiedzialność ADO i podmiotu przetwarzającego dane. UWAGA! Umowy powierzenia przetwarzania danych osobowych muszą być opiniowane u ABI i ewidencjonowane w rejestrze prowadzonym przez jednostkę merytoryczną nadzorującą umowę.

Niszczenie danych Wszelkie dokumenty, wydruki i inne nośniki zawierające dane osobowe oraz informacje prawnie chronione przeznaczone do usunięcia należy: Niszczyć w stopniu uniemożliwiającym ich odczytanie (przy użyciu niszczarki). Można skorzystać z usług specjalistycznych firm zewnętrznych. Warunkiem skorzystania z usług tego typu firm jest zawarcie umowy powierzenia przetwarzania danych, w której należy zawrzeć klauzule zobowiązujące firmę do zapewnienia stanu poufności informacji uzyskanych w toku realizacji umowy oraz określić kwestie związane z przekazaniem dokumentów do zniszczenia, sposobem zniszczenia oraz potwierdzenia tego faktu w postaci protokołów i certyfikatów. Zabronione jest niszczenie nośników zawierających dane osobowe poza lokalem przedsiębiorstwa (np. przez spalenie). PAMIĘTAJ – to ważne, gdyż z tego tytułu ponosisz odpowiedzialność, nawet karną.

Generalny Inspektor Ochrony Danych Osobowych - GIODO Ma uprawnienia do: Kontroli zgodności przetwarzania danych z Ustawą, Zwrócenia się do ABI o dokonanie sprawdzenia u administratora danych, wskazując zakres i termin sprawdzenia, Wydawania decyzji administracyjnych i rozpatrywanie skarg w sprawach wykonania przepisów o ochronie danych osobowych, Zapewnienia wykonania obowiązków o charakterze niepieniężnym wynikających z decyzji administracyjnych przez stosowanie środków egzekucyjnych przewidzianych w ustawie o postępowaniu egzekucyjnym w administracji, Prowadzenia rejestru zbiorów danych oraz udzielanie informacji o zarejestrowanych zbiorach, Opiniowania projektów ustaw i rozporządzeń, Inicjowania i podejmowania przedsięwzięć w zakresie doskonalenia ochrony danych osobowych, Uczestniczenia w pracach międzynarodowych instytucji i organizacji.

Postępowanie przed GIODO Kontrola (art.14): Żądanie złożenia wyjaśnień inspekcja Wszczęcie postępowania Art. 17 ust 1. Decyzja administracyjna Art. 18 ust.1 Skarga do WSA (art.21 ust.2 u. o. d. o.) Wniosek o ponowne rozpatrzenie sprawy (art.21 ust.1) Protokół z inspekcji prawo do wniesienia umotywowanych zastrzeżeń i uwag odmowa podpisania protokołu przedstawienie własnego stanowiska Protokołowane czynności inspekcyjne przyjęcie ustnych i pisemnych wyjaśnień oględziny inspekcja

Jeżeli nastąpi naruszenie Każdy, kto pozyska informację o naruszeniu lub podejrzeniu naruszenia zasad ochrony danych osobowych lub bezpieczeństwa informacji, powinien poinformować o danym fakcie bezpośredniego przełożonego. Przełożony powiadamia o zdarzeniu Administratora Bezpieczeństwa Informacji. W celu wyjaśnienia okoliczności zdarzenia prowadzone jest postępowanie sprawdzające doraźne, w toku którego: ustala się czas wystąpienia naruszenia, jego zakres, przyczyny, skutki oraz wielkość szkód, które zaistniały i osoby odpowiedzialne za naruszenie, podejmuje działania w kierunku ograniczenia szkód oraz przeciwdziałania podobnym przypadkom w przyszłości, gromadzi materiał dowodowy i sporządza pisemną notatkę z postępowania, Osoba winna naruszeniu ponosi odpowiedzialność: dyscyplinarną, karną, cywilną.

Przepisy karne Ustawa o ochronie Danych Osobowych: „Kto przetwarza w zbiorze dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do których przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2” „Kto administrując zbiorem danych lub będąc obowiązany do ochrony danych osobowych udostępnia je lub umożliwia dostęp do nich osobom nieupoważnionym, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2” „Kto administrując danymi narusza choćby nieumyślnie obowiązek zabezpieczenia ich przed zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku”

Przepisy karne Ustawa o ochronie Danych Osobowych cd.: „Kto będąc do tego obowiązany nie zgłasza do rejestracji zbioru danych, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku” „Kto administrując zbiorem danych nie dopełnia obowiązku poinformowania osoby, której dane dotyczą, o jej prawach lub przekazania tej osobie informacji umożliwiających korzystanie z przyznanych jej w niniejszej ustawie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku” „Kto inspektorowi udaremnia lub utrudnia wykonanie czynności kontrolnej, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.”

Przepisy karne Ustawa o zwalczaniu nieuczciwej konkurencji: „Kto, wbrew ciążącemu na nim obowiązkowi w stosunku do przedsiębiorcy, ujawnia innej osobie lub wykorzystuje we własnej działalności gospodarczej informację stanowiąca tajemnicę przedsiębiorstwa, jeżeli wyrządza to poważną szkodę przedsiębiorcy, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2” Ustawa o prawie autorskim i prawach pokrewnych: „Kto przywłaszcza sobie autorstwo albo wprowadza w błąd co do autorstwa całości lub części cudzego utworu albo artystycznego wykonania, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 3”

Bezpieczeństwo danych Czy wiesz, jakie zdarzenia stanowią zagrożenie? Z zewnątrz – włamania do systemu, podsłuch, kradzież danych, Z wewnątrz – nieumyślna lub celowa modyfikacja danych, kradzież danych, Programy destrukcyjne, takie jak: wirusy, konie trojańskie, makra, bomby logiczne, Awarie sprzętu lub uszkodzenie oprogramowania, Utrata zasilania powodująca przerwę w pracy systemów, Zabór sprzętu lub nośników z ważnymi danymi, Inne skutkujące utratą danych osobowych, bądź wejściem w ich posiadanie osób nieuprawnionych (zjawiska fizyczne, takie jak powódź, pożar, huragan, działania silnych pół elektromagnetycznych, przechwycenie transmisji danych, odczyt danych z monitora komputera przez osoby nieuprawnione itp.).

ZABEZPIECZENIE DANYCH Można się przed nimi chronić poprzez: Inne Szafy na dokumenty Klucze do pomieszczeń Systemy alarmowe FIZYCZNE Kopie bezpieczeństwa Podpisy cyfrowe Szyfrowanie Hierarchia uprawnień Hasła dostępu Identyfikatory LOGICZNE Wewnętrzne regulaminy Wydanie upoważnień Zakresy obowiązków Wyznaczenie ABI ORGANIZACYJNE ZABEZPIECZENIE DANYCH

Kilka ważnych zasad: Chroń dane przed osobami nieupoważnionymi, Przechowuj wszelkie dokumenty i nośniki zawierające dane w szafach zamykanych na klucz, Chroń pomieszczenia, w których przetwarzane są dane osobowe, przed dostępem osób niepowołanych. Przebywanie w pomieszczeniu osób nieuprawnionych jest dopuszczalne tylko w obecności osoby zatrudnionej przy przetwarzaniu danych osobowych oraz w warunkach zapewniających bezpieczeństwo danych, Pamiętaj o zasadzie „czystego biurka i czarnego monitora” – po godzinach nie zostawiaj dokumentów na biurku, pamiętaj o wylogowaniu z programów i systemu, Blokuj komputer i stosuj chronione hasłem wygaszacze ekranu z odpowiednim (tj. nie dłuższym niż 10 minut) czasem nieaktywności do ich uruchomienia, Ustaw powierzone Ci do obsługi urządzenia komputerowe w taki sposób, by uniemożliwić wgląd do danych znajdujących się na monitorach osobom nieuprawnionym, Jeżeli przesyłasz dane osobowe pocztą elektroniczną zabezpiecz plik hasłem lub zastosuj środki ochrony kryptograficznej.

UWAGA: Do przesyłania dokumentów elektronicznych z danymi osobowymi należy stosować systemy informatyczne gwarantujące bezpieczeństwo przesyłanych danych, tj. w szczególności konta pocztowe w domenach nadzorowanych przez UMCS, strony szyfrowane, indywidualne katalogi wymiany w Uniwersytecie wprowadza się zakaz kopiowania służbowych plików na prywatne nośniki informacji (np. pendrive) oraz przesyłane firmowych danych na prywatne e-maile pracowników Uniwersytetu. UWAGA! Wykorzystuj do przesyłu danych wyłącznie pocztę służbową.

Użytkujesz komputer przenośny? Bądź szczególnie ostrożny. Nie wolno Ci przechowywać danych osobowych na dysku komputera, chyba że zastosujesz środki ochrony kryptograficznej, Po zakończeniu pracy przechowuj komputer w warunkach zapewniających jego bezpieczeństwo (szafy zamykane na klucz), Twój komputer powinien mieć uaktywniony firewall programowy oraz mechanizmy kontroli dostępu do zasobów komputera, Jesteś odpowiedzialny za bezpieczeństwo Twojego komputera i znajdujących się na nim danych, Zachowaj ostrożność w trakcie transportu komputera, łatwo go ukraść. UWAGA! Analogiczne zasady zabezpieczenia należy stosować przy wykorzystaniu innych urządzeń mobilnych.

Systemy informatyczne Zabezpieczenie Wymogi w zakresie ich zabezpieczenia określa art.36 - 39a Ustawy o ochronie danych osobowych i Rozporządzenie MSWiA w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. W Uniwersytecie obowiązuje wysoki poziom bezpieczeństwa przetwarzanych danych osobowych, a to oznacza m.in. stosowanie procesu uwierzytelniania użytkowników za pomocą indywidualnego identyfikatora i odpowiednio zbudowanego hasła dostępu.

Identyfikatory i hasła Dlaczego musimy stosować? Ponieważ: Inaczej złamiemy prawo i narazimy się na odpowiedzialność, Podnoszą poziom bezpieczeństwa danych, gdyż służą one identyfikacji i autoryzacji użytkownika. PAMIĘTAJ: Hasła muszą składać się z minimum 8 znaków, w tym dużych i małych liter, cyfr oraz znaków specjalnych, Nie powinny kojarzyć się z Twoim identyfikatorem, imieniem, nazwiskiem, przezwiskiem, inicjałami, pełnioną funkcją, datą urodzenia, danymi członków rodziny, ani żadną inną informacją dotyczącą Ciebie, gdyż staną się łatwe do złamania, Musisz je zmieniać maksymalnie co 30 dni, Zabronione jest zapisywanie haseł w sposób jawny oraz przekazywanie ich innym osobom.

Nie chcesz utracić efektów swojej pracy? Możesz temu zapobiec. Zabezpiecz dane poprzez wykonanie kopii bezpieczeństwa lub archiwalnych, Kopie należy wykonywać: przed dokonaniem zmian w konfiguracji systemów operacyjnych lub oprogramowania, przed dokonaniem zmian w programach (np. zmiana wersji), po każdej istotnej zmianie danych w bazie danych, Wskazane jest również okresowe wykonywanie kopii archiwalnych, np.: miesięczne – na koniec danego miesiąca, roczne – na koniec danego roku, Każdy użytkownik powinien zadbać o bezpieczeństwa istotnych danych poprzez okazjonalne wykonanie kopii ważnych danych. Może również (co jest zalecane) przechowywać dane na dedykowanym zasobie serwerowym, co zagwarantuje właściwy poziom bezpieczeństwa danych. Odpowiada również za usunięcie danych po upływie okresu ich przetwarzania.

Czy wiesz, że: Zasoby Uniwersytetu dzielimy na: Ludzkie – ludzie wraz z ich kwalifikacjami, umiejętnościami i doświadczeniem oraz kultura organizacji, Informacyjne – bazy danych, pliki z danymi, kontrakty, licencje, umowy, tajemnice zawodowe, podręczniki użytkownika, materiały szkoleniowe, dokumentacja systemowa, dodatkowe procedury operacyjne i wspierające, plany i procedury dotyczące zarządzania ciągłością działania, dokumenty audytowe, polityka kadrowa i system wynagrodzeń, Rzeczowe – sprzęt komputerowy, urządzenia komunikacyjne, nośniki informacji i inne urządzenia, oprogramowanie, Intelektualne – patenty, prawa autorskie, Wartości niematerialne – reputacja, wizerunek Uniwersytetu.

PAMIĘTAJ !!! Życie i zdrowie osób jest dobrem najwyższym i ich ochrona w sytuacji zagrożenia jest ważniejsza niż ochrona jakichkolwiek innych zasobów Uniwersytetu. Wszystkie zasoby teleinformatyczne, w tym dane i informacje oraz środki służące do ich przetwarzania, będące własnością, wynajmowane, dzierżawione lub administrowane przez Uniwersytet, podlegają ochronie zgodnie z obowiązującymi przepisami prawa powszechnego oraz aktami prawnymi wewnętrznymi. Dane osobowe to jedna z kategorii informacji podlegających ochronie w Uniwersytecie.

Jakie informacje chronimy – rodzaje tajemnic, m.in.: Tajemnica zawodowa – jest to informacja uzyskana przez określone grupy pracownicze w związku z wykonywanymi obowiązkami służbowymi w ramach pozostawania w stosunku pracy, zlecenia lub w innym stosunku prawnym o podobnym charakterze np. tajemnica adwokacja, radcowska, autorska, negocjacji, korespondencji, lekarska itd.. Obowiązek zachowania tajemnicy zawodowej istnieje zarówno w czasie trwania stosunków prawnych, jak również po ich ustaniu. Tajemnica pracodawcy – nie ujawniane do wiadomości publicznej informacje techniczne, technologiczne, organizacyjne lub inne posiadające wartość gospodarczą dla Uniwersytetu, których ujawnienie mogłoby narazić pracodawcę na szkodę. Niedochowanie tajemnicy obwarowane jest sankcjami ze zwolnieniem dyscyplinarnym włącznie. Tajemnica przedsiębiorstwa - nie ujawnione do wiadomości publicznej informacje techniczne, technologiczne, organizacyjne lub inne posiadające wartość gospodarczą, co do których podjęte zostały przez Uniwersytet niezbędne działania w celu zachowania ich poufności. Ustawa zobowiązuje pracownika do zachowania tajemnicy przez okres 3 lat po ustaniu stosunku pracy, chyba że umowa stanowi inaczej lub ustanie stan tajemnicy.

Zasady dotyczące bezpieczeństwa informacji odnoszą się do trzech aspektów: Poufności - funkcja bezpieczeństwa wskazująca obszar, w którym dane nie powinny być udostępniane lub ujawniane nieuprawnionym osobom, procesom lub innym podmiotom. Poufność realizowana jest zwykle przy pomocy szyfrowania oraz kontroli dostępu. Integralności - funkcja bezpieczeństwa polegająca na tym, że dane nie zostały zmienione, dodane lub usunięte w nieautoryzowany sposób. Ochrona integralności zapobiega przypadkowemu zniekształceniu danych podczas odczytu, zapisu, transmisji lub przechowywania oraz zapobiega celowej modyfikacji danych dokonanej z użyciem zaawansowanych technik, mających na celu ukrycie faktu dokonania zmiany. Dostępności – właściwość zapewniająca, iż wyłącznie osoby upoważnione mają dostęp do informacji i związanych z nią aktywów wtedy, gdy jest im to potrzebne.

Strefy bezpieczeństwa w Uniwersytecie: Mając na względzie bezpieczeństwo danych powinniśmy obszar Uniwersytetu dzielić na trzy strefy: I strefa - pomieszczenia o znaczeniu zasadniczym, strategicznym dla funkcjonowania i ochrony zasobów Uczelni, takie jak: serwerownie, kasa itp. Dostęp do tych pomieszczeń mogą posiadać wyłącznie upoważnieni pracownicy, np. obsługujący serwery. Inne osoby upoważnione do przetwarzania informacji prawnie chronionych mają prawo przebywania w tych pomieszczeniach wyłącznie w towarzystwie uprawnionych pracowników, zaś osoby postronne w ogóle nie mają do nich dostępu, II strefa - pomieszczenia biurowe oraz wykorzystywane przez poszczególne jednostki organizacyjne Uniwersytetu. Dostęp do nich mają uprawnieni pracownicy, a osoby postronne mogą w nich przebywać w obecności upoważnionego pracownika, III strefa - tworzą wszystkie pozostałe pomieszczenia znajdujące się w obiektach Uniwersytetu. Są to pomieszczenia ogólnodostępne, do których dostęp mają wszystkie osoby bez specjalnego nadzoru.

Zabronione jest: Łamanie haseł, Dokonywanie włamań na konta innych użytkowników, Nieprawne uzyskiwanie dostępu do kont administracyjnych, Instalacja nielegalnego lub niezwiązanego z pracą oprogramowania, Zakłócanie działania systemów, Omijanie i badanie zabezpieczeń (nie dotyczy audytu lub testowania), Rozprowadzanie wirusów, robaków i koni trojańskich oraz niechcianej poczty, Praca na koncie innego użytkownika, za wyjątkiem określonych sytuacji, Użytkowanie sprzętu komputerowego przez osoby nie mające uprawnień do pracy w systemie informatycznym, Podejmowanie innych działań mogących być zagrożeniem dla systemu.

UWAGA !!! Wykonywanie zabronionych czynności, o których mowa na poprzednim slajdzie stanowi ciężkie naruszenie obowiązków pracowniczych obwarowanych odpowiedzialnością dyscyplinarną, o której decyduje przełożony osoby dokonującej naruszenia. Wykorzystywanie służbowego sprzętu komputerowego i oprogramowania do celów prywatnych możliwe jest po uzyskaniu zgody kierownika jednostki organizacyjnej.

Chcesz wiedzieć więcej? Masz problem? Skontaktuj się z Administratorem Bezpieczeństwa Informacji Elżbietą Krzyżak tel. 501 077 990 e-mail: e.krzyzak@agami.com.pl