Pobieranie prezentacji. Proszę czekać

Pobieranie prezentacji. Proszę czekać

Co się zmienia w systemie ochrony danych osobowych w świetle RODO

OpublikowałSzymon Janik Został zmieniony 6 lat temu

Podobne prezentacje

Prezentacja na temat: "Co się zmienia w systemie ochrony danych osobowych w świetle RODO"— Zapis prezentacji:

1 Co się zmienia w systemie ochrony danych osobowych w świetle RODO

2 Przepisy prawne – obecnie
1. Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (duża nowelizacja w styczniu 2015 r.) 2. Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych 3. Rozporządzenie Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych

3 System ochrony d.o. – obecnie
Administrator Bezpieczeństwa Informacji Dokumentacja ochrony d.o.: - Polityka Bezpieczeństwa, - Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych, - Upoważnienia do przetwarzania danych osobowych, - Rejestracja zbiorów w Biurze GIODO lub prowadzenie Rejestru zbiorów danych, - Dokumentacja sprawdzeń

4 Przepisy prawne - nowe Rozporządzenie Parlamentu Europejskiego i Rady 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych, w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (będzie obowiązywało od 25 maja 2018 roku)

5 Przepisy prawne - nowe Nowe polskie akty prawne 1. Projekt ustawy o ochronie danych osobowych r. 2. Projekt ustawy przepisy wprowadzające ustawę o ochronie danych osobowych (zmiany w 133 aktach prawnych) – r.

6 Niektóre obowiązki ADO
Art. 30 ust. 1 Każdy administrator … prowadzi rejestr czynności przetwarzania danych osobowych, za które odpowiada.

7 Niektóre obowiązki ADO
Art. 32 1. Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku: pseudonimizację i szyfrowanie danych osobowych, zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania,

8 Niektóre obowiązki ADO
Art. 32 c.d. zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego, regularne testowanie, mierzenie, ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

9 Niektóre obowiązki ADO
Art. 33 i 34 W przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki – w miarę możliwości nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu. Jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator, bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu.

10 Inspektor Ochrony Danych
Inspektor Ochrony Danych musi być powołany we wszystkich organach i podmiotach publicznych IOD jest wyznaczany na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełniania przypisanych do niego zadań.

11 Inspektor Ochrony Danych
Niektóre zadania IOD (art. 39): Informowanie administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy niniejszego rozporządzenia oraz innych przepisów Unii o ochronie danych i doradzanie im w tej sprawie; Monitorowanie przestrzegania RODO i innych przepisów Unii oraz polityk administratora (zbieranie informacji w celu identyfikacji procesów przetwarzania, sprawdzanie zgodności tego przetwarzania, doradzanie i rekomendowanie określonych działań administratorowi);

12 Inspektor Ochrony Danych
Niektóre zadania IOD (art. 39): Współpraca z Urzędem Ochrony Danych Osobowych; Pełnienie funkcji punktu kontaktowego dla osób, których dane są przetwarzane przez administratora i dla Urzędu Ochrony Danych Osobowych.

13 Inspektor Ochrony Danych
Do obowiązków IOD będzie należało również wsparcie w implementacji RODO w organizacji, w zakresie: zasad przetwarzania danych osobowych (art. 6 i 9), praw osób, których dane dotyczą (art ), ochrony danych w fazie projektowania (art. 35), rejestru czynności przetwarzania (art. 32), zgłaszania naruszeń związanych z ochroną danych osobowych (art. 33 i 34).

14 Inspektor Ochrony Danych
Art. 38 ust. 6 Inspektor ochrony danych może wykonywać inne zadania i obowiązki. Administrator lub podmiot przetwarzający zapewniają, by takie zadania i obowiązki nie powodowały konfliktu interesów.

15 Inspektor Ochrony Danych
Wytyczne Grupy Roboczej art. 29 dotyczące IOD: Kwalifikacje zawodowe – RODO nie wskazuje konkretnych kwalifikacji zawodowych, IOD powinien jednak posiadać odpowiednią wiedzę z zakresu krajowych i europejskich przepisów o ochronie danych osobowych i praktyk oraz dogłębną znajomość RODO. Zalecana jest również wiedza sektorowa dotycząca administratora, wiedza na temat procesów przetwarzania danych, systemów informatycznych oraz zabezpieczeń stosowanych u administratora. W przypadku organów i podmiotów publicznych powinien również posiadać wiedzę w zakresie procedur administracyjnych.

16 Przepisy prawne - kary Wysokie kary finansowe o których mowa w art. 83 RODO (do EUR lub 4% całkowitego rocznego obrotu z poprzedniego roku) nie dotyczą organów publicznych.

17 Przepisy prawne - kary (Projekt ustawy o ochronie danych osobowych)
Na podmioty publiczne, o których mowa w art. 9 pkt 1 – 12 i 14 ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych Prezes Urzędu może nałożyć, w drodze decyzji, administracyjne kary pieniężne w wysokości do zł.

18 Jak wdrożyć RODO?

19 Wdrożenie RODO - etapy Audyt otwarcia - analiza obowiązków wynikająca z RODO, obecnie stosowanych zabezpieczeń i dokumentów Działania dostosowawcze – wskazanie koniecznych działań i ustalenie harmonogramu ich realizacji Audyt powdrożeniowy - weryfikacja realizacji zadań

20 Audyt otwarcia Analiza obowiązków dotycząca procesów 1. Ustalenie statusu administratora i współadministratorów 2. Weryfikacja podstaw prawnych przetwarzania d.o. zgodnych z RODO 3. Odbieranie oświadczeń zgody na przetwarzanie d.o. (art. 7) 4. Realizacja obowiązków informacyjnych wymaganych przy zbieraniu danych osobowych (art ) 5. Realizacja praw osób, których dane dotyczą (art ), w tym określenie procedur 6. Powierzenie przetwarzania danych osobowych innym podmiotom (art. 28) – wybór procesora, treść umowy 7. Ocena skutków przetwarzania d.o. jeśli proces tego wymaga (art.36)

21 Audyt otwarcia Analiza obowiązków dotycząca organizacji
1. Analiza ryzyka danych osobowych, weryfikacja stosowanych zabezpieczeń technicznych i organizacyjnych i ich dostosowanie do wymagań RODO (art. 32) 2. Opracowanie wzoru rejestru czynności przetwarzania danych osobowych (art. 30) 3. Określenie procedur dotyczących: - obsługi żądań podmiotów danych kierowanych do IOD, realizacji zadań związanych ze zgłaszaniem naruszeń ochrony danych osobowych (art. 33) - wyznaczenia IOD i określenia jego zadań (art )

22 Audyt otwarcia Analiza dokumentacji
1. Uzupełnienie Polityki ochrony danych o zapisy dotyczące: realizowania funkcji IOD metodyki analizy ryzyka procedury zgłaszania naruszeń ochrony danych osobowych (incydentów) procedury zapewnienia ciągłości działania procedury przeglądów zastosowanych zabezpieczeń 2. Utworzenie Rejestru czynności przetwarzania d.o.

23 Działania dostosowawcze
1. Powołanie zespołu do wdrożenia RODO 2. Opracowanie harmonogramu realizacji zadań 3. Przeprowadzenie szkolenia pracowników

24 Działania dostosowawcze
Przy opracowywaniu harmonogramu uwzględnić podział zadań na: 1. takie, które mogą być wykonane niezwłocznie 2. które będą oczekiwały na uchwalenie przepisów dostosowawczych (przepisy zmieniające inne ustawy) 3. które powinny być zrealizowane po wydaniu odpowiednich wytycznych: GIODO – wytyczne dotyczące analizy ryzyka Grupa Robocza art. 29 – wytyczne dotyczące zgody, transparentności przetwarzania d.o., naruszeń ochrony d.o. – grudzień 2017 r.

25 Audyt powdrożeniowy Termin audytu – początek maja 2018 r. Cel – weryfikacja realizacji zadań określonych w harmonogramie, w tym środków technicznych i organizacyjnych wynikających z przeprowadzonej analizy ryzyka

26 Działania po r. 1. Wyznaczenie IOD i powiadomienie Prezesa Urzędu Ochrony Danych Osobowych (art. 37) 2. Stosowanie kodeksów postępowania i certyfikacja (art ) 3. Uwzględnianie ochrony danych w fazie projektowania (art. 25)

27 Usługi ZETO Koszalin Sp. z o.o. związane z RODO
Szkolenia pracowników, zespołu powołanego do wdrożenia RODO, kandydata do pełnienia funkcji IOD Współudział w procesie wdrażania RODO w OPS na każdym etapie Audyt bezpieczeństwa danych osobowych Audyt bezpieczeństwa informacji zgodny z ISO/IEC :2013

28 Dziękuję za uwagę Jolanta Kubiak Zakład Elektronicznej Techniki Obliczeniowej Sp. z o.o. w Koszalinie

Pobierz ppt "Co się zmienia w systemie ochrony danych osobowych w świetle RODO"

Podobne prezentacje

KRK – na Uniwersytecie Warszawskim Marta Kicińska-Habior

KRK – na Uniwersytecie Warszawskim Marta Kicińska-Habior
Kompleksowe zarządzanie bezpieczeństwem informacji

Kompleksowe zarządzanie bezpieczeństwem informacji
Najważniejsze prace legislacyjne dotyczące problematyki społeczeństwa informacyjnego zakończone w 2001 r. Grażyna Omarska p.o. Dyrektor Departamentu Systemów.

Najważniejsze prace legislacyjne dotyczące problematyki społeczeństwa informacyjnego zakończone w 2001 r. Grażyna Omarska p.o. Dyrektor Departamentu Systemów.
PRZYGOTOWANIA DO REACH W POLSCE PIOTR ZABADAŁA MINISTERSTWO GOSPODARKI

PRZYGOTOWANIA DO REACH W POLSCE PIOTR ZABADAŁA MINISTERSTWO GOSPODARKI
Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych

Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych
Ocena ryzyka zawodowego Narzędzie do poprawy warunków pracy

Ocena ryzyka zawodowego Narzędzie do poprawy warunków pracy
Eksploatacja zasobów informatycznych przedsiębiorstwa

Eksploatacja zasobów informatycznych przedsiębiorstwa
Polskie przepisy dotyczące tworzenia i funkcjonowania EUWT

Polskie przepisy dotyczące tworzenia i funkcjonowania EUWT
Audyt wewnętrzny w systemie kontroli zarządczej

Audyt wewnętrzny w systemie kontroli zarządczej
Podstawy prawne informatyzacji administracji publicznej

Podstawy prawne informatyzacji administracji publicznej
Aktualne zagadnienia prawne.

Aktualne zagadnienia prawne.
UDZIAŁ WOJEWODY W PROCEDURZE ZWIĄZANEJ

UDZIAŁ WOJEWODY W PROCEDURZE ZWIĄZANEJ
Jakość, efektywność i skuteczność w pomocy społecznej

Jakość, efektywność i skuteczność w pomocy społecznej
1 Prawo energetyczne Założenia zmian do systemu kwalifikacji osób oraz ich spójność z przepisami UE i systemami kwalifikacji w krajach UE Ministerstwo.

1 Prawo energetyczne Założenia zmian do systemu kwalifikacji osób oraz ich spójność z przepisami UE i systemami kwalifikacji w krajach UE Ministerstwo.
BEZPIECZEŃSTWO ELEKTRONICZNYCH DANYCH MEDYCZNYCH

BEZPIECZEŃSTWO ELEKTRONICZNYCH DANYCH MEDYCZNYCH
Wewnętrzny system zapewniania jakości PJWSTK - główne założenia i kierunki działań w ramach projektu „Kaizen - japońska jakość w PJWSTK” Projekt współfinansowany.

Wewnętrzny system zapewniania jakości PJWSTK - główne założenia i kierunki działań w ramach projektu „Kaizen - japońska jakość w PJWSTK” Projekt współfinansowany.
Usługi BDO - odpowiedź na realne potrzeby rynku

Usługi BDO - odpowiedź na realne potrzeby rynku
USTAWA z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych

USTAWA z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych
USTAWA z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych

USTAWA z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych
VIII. POSTĘPOWANIE ADMINISTRACYJNE Zmierza do wymuszenia na administratorze realizacji obowiązków nałożonych prawem.

VIII. POSTĘPOWANIE ADMINISTRACYJNE Zmierza do wymuszenia na administratorze realizacji obowiązków nałożonych prawem.

Podobne prezentacje

Reklamy Google